Một chiến dịch tấn công mạng quishing tinh vi đã được phát hiện, sử dụng mã QR nguy hiểm nhằm mục tiêu cụ thể vào người dùng Microsoft với các yêu cầu xem tài liệu tưởng chừng vô hại. Chiến dịch này khai thác các kỹ thuật trốn tránh nâng cao, bao gồm việc phân chia mã QR thành hai hình ảnh riêng biệt, sử dụng bảng màu không chuẩn và vẽ mã trực tiếp qua các luồng nội dung PDF, cho phép kẻ tấn công vượt qua các hệ thống phòng thủ chống virus và quét PDF truyền thống.

Làn sóng quishing mới này nhấn mạnh sự phát triển không ngừng của bối cảnh mối đe dọa mạng và làm nổi bật sự cần thiết của việc tăng cường cảnh giác người dùng khi tương tác với các tài liệu kỹ thuật số.

Cơ chế hoạt động của Chiến dịch Quishing

Chiến dịch bắt đầu bằng một email lừa đảo (phishing email) có vẻ như đến từ DocuSign, thông báo cho người nhận rằng họ đã nhận được một tài liệu để xem xét và ký. Phần nội dung email chứa một mã QR được hiển thị với phổ màu bắt mắt nhưng không chuẩn, khiến nó hòa vào thiết kế tài liệu trong khi vẫn làm chệch hướng các thuật toán quét QR thông thường.

Kỹ thuật Trốn tránh Phát hiện Mã QR Nâng cao

Phân tích cho thấy mã QR không phải là một hình ảnh raster duy nhất mà được phân vùng thành hai đối tượng hình ảnh riêng biệt trong tệp PDF. Mỗi nửa của mã được hiển thị độc lập, sau đó được định vị để xuất hiện như một mẫu QR hoàn chỉnh khi được xem. Kỹ thuật chia tách này giúp vượt qua các hệ thống phát hiện dựa trên chữ ký, vốn thường tìm kiếm các mẫu QR hình ảnh đầy đủ.

Hơn nữa, thay vì nhúng mã QR như một hình ảnh tiêu chuẩn, kẻ tấn công vẽ các mô-đun QR theo chương trình bằng cách sử dụng các lệnh luồng nội dung PDF. Bằng cách đưa ra các hướng dẫn vẽ chính xác cho từng mô-đun tối và sáng, chúng tránh việc nhúng bất kỳ tệp hình ảnh QR có thể nhận dạng nào. Thông tin chi tiết về phân tích kỹ thuật này cho thấy cách tiếp cận luồng nội dung hiển thị mã chính xác cho người xem và máy quét camera di động, nhưng hoàn toàn bỏ qua các máy quét dựa vào trích xuất hình ảnh. Kết quả là một cơ chế phân phối có khả năng phục hồi cao, có thể vượt qua nhiều bộ lọc bảo mật PDF mà không bị phát hiện.

Quy trình Xâm nhập và Đánh cắp Thông tin

Khi người dùng quét mã QR lừa đảo bằng điện thoại thông minh hoặc máy tính bảng, họ sẽ được chuyển hướng đến một trang đăng nhập Microsoft giả mạo được lưu trữ trên một tên miền được thiết kế để bắt chước cổng thông tin chính thức của Microsoft. Trang này có giao diện bóng bẩy với thương hiệu Microsoft hợp pháp, yêu cầu người dùng nhập thông tin đăng nhập để “truy cập tài liệu an toàn.”

Thông tin đăng nhập bị đánh cắp sẽ được chuyển ra ngoài theo thời gian thực, cho phép kẻ đe dọa giành quyền truy cập trái phép vào email công ty, tài liệu OneDrive và các dịch vụ đám mây Microsoft khác. Đây là một điển hình của tấn công mạng nhằm chiếm đoạt tài khoản.

Hậu quả Sau Xâm nhập và Mở rộng Tấn công

Sau khi đánh cắp thông tin đăng nhập, kẻ tấn công có thể triển khai các mô phỏng bỏ qua xác thực đa yếu tố (MFA), gửi lời nhắc thông báo đẩy cho người dùng hoặc thay đổi tinh vi cài đặt tài khoản để duy trì quyền truy cập. Ngoài ra, các tài khoản bị xâm nhập được sử dụng để lan truyền thêm các tin nhắn lừa đảo nội bộ, lợi dụng sự tin tưởng trong tổ chức để khởi động các cuộc tấn công kỹ thuật xã hội tiếp theo.

Trong một số trường hợp, dữ liệu bị đánh cắp được kiếm tiền trên các thị trường dark web, trong khi các chiến dịch khác chuyển sang triển khai payload ransomware hoặc phần mềm độc hại thu thập dữ liệu trong mạng của nạn nhân. Điều này cho thấy tính nghiêm trọng của loại tấn công mạng này.

Chiến lược Phòng thủ và Giảm thiểu Rủi ro An ninh mạng

Phòng thủ chống lại mối đe dọa quishing mới này đòi hỏi sự kết hợp của các biện pháp kiểm soát kỹ thuật, đào tạo nhận thức người dùng và lập kế hoạch ứng phó sự cố mạnh mẽ. Các tổ chức nên thực thi các chính sách quét PDF nghiêm ngặt bao gồm phân tích luồng nội dung có khả năng phát hiện các lệnh vẽ QR không phải hình ảnh.

Biện pháp Kỹ thuật Chuyên sâu để Tăng cường An ninh mạng

• Giải pháp bảo vệ mối đe dọa nâng cao: Phải được cấu hình để kiểm tra các lệnh hiển thị PDF, gắn cờ các bất thường như nhiều đối tượng hình ảnh tạo thành một mã QR duy nhất.
• Xác thực đa yếu tố (MFA): Nên được thực thi trên tất cả các tài khoản, sử dụng token phần cứng hoặc phương pháp sinh trắc học thay vì SMS hoặc thông báo đẩy ứng dụng, để giảm nguy cơ chiếm đoạt tài khoản dựa trên thông tin đăng nhập.
• Giám sát và ứng phó: Các đội ngũ an ninh cần giám sát các nỗ lực đăng nhập bất thường và đăng ký tên miền gần giống với các điểm cuối Microsoft hợp pháp. Các thủ tục gỡ bỏ nhanh chóng đối với các tên miền lừa đảo và tiết lộ phối hợp với các nhà cung cấp dịch vụ lưu trữ có thể giảm đáng kể cửa sổ cơ hội cho kẻ tấn công.

Hoạt động săn lùng mối đe dọa chủ động (proactive threat hunting) và chia sẻ thông tin tình báo – đặc biệt liên quan đến các chỉ số thỏa hiệp (IOC) được tìm thấy trong các payload quishing – sẽ tăng cường khả năng phục hồi của tổ chức.

Để biết thêm thông tin về các cuộc tấn công quishing và cách bảo vệ điện thoại thông minh của bạn, hãy tham khảo tại đây.

Nâng cao Nhận thức Người dùng và Bảo mật Thông tin

Về phía người dùng, khách hàng của Microsoft cần được đào tạo để xác minh nguồn mã QR trước khi quét và kiểm tra chéo mọi yêu cầu tài liệu không mong muốn thông qua các kênh thay thế. Khuyến khích sử dụng trực tiếp các cổng tài liệu chính thức – thay vì các liên kết quét QR – có thể giảm thiểu phơi nhiễm với các mã QR bị thao túng. Đây là một phần quan trọng trong việc phòng chống các cuộc tấn công mạng.

Khi các kỹ thuật quishing tiếp tục phát triển, kết hợp các phương pháp trốn tránh với thương hiệu lừa đảo, việc giữ vững cảnh giác và an toàn vẫn là điều bắt buộc. Người dùng và các đội ngũ an ninh cần duy trì sự cảnh giác, áp dụng các biện pháp phòng thủ theo lớp để chống lại các cuộc tấn công mạng bằng mã QR nguy hiểm và bảo vệ các tài sản Microsoft quan trọng trong bối cảnh an ninh mạng năng động ngày nay.