Một chiến dịch tấn công phishing mới đây đã được Cofense Phishing Defense Center phát hiện. Chiến dịch này cho thấy các tác nhân đe dọa đang lạm dụng niềm tin vào thương hiệu Microsoft một cách tinh vi.

Chiến dịch không chỉ thu thập thông tin đăng nhập mà còn dẫn dụ nạn nhân gọi đến các đường dây hỗ trợ giả mạo. Điều này tạo điều kiện cho kẻ tấn công truy cập từ xa vào hệ thống của người dùng.

Khai thác Niềm tin Thương hiệu Microsoft trong Tấn công Phishing

Microsoft từ lâu đã được xem là biểu tượng của sự tin cậy trong lĩnh vực điện toán và bảo mật. Tuy nhiên, các tác nhân đe dọa đã lợi dụng tên tuổi và logo của hãng để thực hiện các cuộc lừa đảo.

Chiến dịch tấn công phishing này kết hợp nhuần nhuyễn các chiến thuật kỹ thuật xã hội cổ điển. Đồng thời nó còn sử dụng các lớp phủ lừa đảo nâng cao để đánh lừa người dùng.

Mục tiêu chính là đánh cắp thông tin đăng nhập và thao túng nạn nhân. Nạn nhân bị dẫn dắt để tự nguyện cấp quyền truy cập từ xa cho kẻ tấn công, gây ra mối đe dọa mạng nghiêm trọng.

Giai đoạn Mở đầu: Email Lừa đảo và Mồi nhử Thanh toán

Cuộc tấn công phishing bắt đầu bằng một email có vẻ vô hại. Email này mạo danh là thông báo thanh toán từ một công ty giả mạo tên “Syria Rent a Car”.

Mồi nhử thanh toán này thực chất là một chiêu trò tinh vi. Nó được thiết kế để khơi gợi sự tò mò của người nhận và thúc đẩy họ nhấp vào liên kết độc hại được nhúng trong email.

Thử thách CAPTCHA Giả mạo

Sau khi nhấp vào liên kết, người dùng sẽ gặp một thử thách CAPTCHA giả mạo. Giao diện của CAPTCHA này được thiết kế để trông hoàn toàn hợp lệ và đáng tin cậy.

Bước này có hai mục đích chính trong chuỗi tấn công phishing. Thứ nhất, nó thuyết phục nạn nhân rằng họ đang tương tác với một dịch vụ đáng tin cậy. Thứ hai, nó ngăn chặn các trình quét tự động phát hiện và gắn cờ trang web độc hại.

Sau khi “vượt qua” CAPTCHA, những người dùng không nghi ngờ sẽ bị chuyển hướng. Họ bị đưa đến giai đoạn trọng tâm của vụ lừa đảo, nơi mức độ lừa dối được đẩy lên cao hơn.

Leo Thang Deception: Khóa Trình duyệt Giả lập và Rủi ro Bảo mật

Không giống như các thủ đoạn tấn công phishing thông thường chỉ âm thầm thu thập thông tin đăng nhập, chiến dịch này leo thang mức độ lừa đảo. Nó mô phỏng tình trạng khóa trình duyệt trên máy tính của nạn nhân.

Nạn nhân sẽ thấy con trỏ chuột của họ bị cố định. Nhiều cửa sổ pop-up giống cảnh báo bảo mật của Microsoft tràn ngập màn hình, kèm theo thông báo khẩn cấp khẳng định hệ thống đã bị xâm phạm.

Tình trạng mất kiểm soát cưỡng bức này bắt chước hành vi của ransomware. Nó tạo ra sự hoảng loạn và cấp bách, khiến nạn nhân dễ bị thao túng hơn.

Nạn nhân không hề hay biết, chỉ cần nhấn phím ESC có thể khôi phục quyền kiểm soát. Tuy nhiên, các hình ảnh đáng báo động và logo Microsoft lặp đi lặp lại khiến người dùng tin rằng cách duy nhất là liên hệ với “Hỗ trợ Microsoft” qua số điện thoại hiển thị nổi bật, gia tăng rủi ro bảo mật.

Kịch bản Hỗ trợ Kỹ thuật Giả mạo

Khi nạn nhân gọi đến số điện thoại hỗ trợ giả mạo, họ sẽ được kết nối với những kẻ tấn công. Những kẻ này đóng giả làm kỹ thuật viên của Microsoft để tiếp tục cuộc lừa đảo.

Ở giai đoạn này, kẻ tấn công sử dụng các chiến thuật gây áp lực cao. Chúng yêu cầu cung cấp thông tin đăng nhập tài khoản hoặc thuyết phục người dùng cài đặt phần mềm điều khiển máy tính từ xa, hoàn thiện mục tiêu của tấn công phishing.

Chiếm quyền Điều khiển Từ xa và Mối đe dọa Mạng

Khi các công cụ truy cập từ xa được cài đặt, tác nhân đe dọa có thể dễ dàng xâm nhập vào mạng nội bộ. Điều này tạo ra một mối đe dọa mạng đáng kể cho tổ chức.

Chúng có thể thực hiện nhiều hành vi độc hại như đánh cắp dữ liệu, triển khai mã độc hoặc tấn công sâu hơn vào các hệ thống quan trọng khác.

Sự kết hợp giữa tình trạng hoảng loạn trên màn hình và các logo có thẩm quyền của Microsoft khiến vụ lừa đảo này trở nên đặc biệt hiệu quả. Đặc biệt đối với những người dùng cho rằng cuộc gọi được gắn nhãn “Hỗ trợ Microsoft” phải là thật.

Phân tích Kỹ thuật và Chỉ số IOC

Phân tích của Cofense đã xác định một số URL lây nhiễm và phân phối payload trong chiến dịch này. Những chỉ số IOC (Indicators of Compromise) này rất quan trọng để phát hiện và ngăn chặn các cuộc tấn công phishing trong môi trường an ninh mạng.

Thông tin chi tiết hơn về chiến dịch có thể được tìm thấy trong phân tích của Cofense tại Cofense Blog.

Các URL và Địa chỉ IP Malicious

Các liên kết ban đầu được sử dụng trong giai đoạn đầu của tấn công phishing bao gồm các biến thể được lưu trữ trên các tên miền và IP sau:

• hxxps://alphadogprinting[.]com/index.php?8jl9lz
• amormc[.]com (độ phân giải IP: 107[.]180[.]26[.]155 và 184[.]168[.]97[.]153)

Các giai đoạn payload tiếp theo đã cung cấp các trang đích từ các tên miền như:

• toruftuiov[.]com
• highbourg[.]my[.]id

Tất cả các tên miền này đều trỏ đến các IP của Cloudflare và các điểm cuối khác, bao gồm:

• 104[.]21.32.1
• 104[.]21.112.1
• 18[.]160.41.101

Những chỉ số kỹ thuật này có thể hỗ trợ các chuyên gia bảo mật. Chúng giúp chặn lưu lượng độc hại và xác định các máy khách bị xâm nhập trong mạng doanh nghiệp.

Chiến lược Phòng vệ và Giảm thiểu Rủi ro Bảo mật

Chiến dịch này là một lời nhắc nhở rõ ràng về các rủi ro bảo mật do lạm dụng niềm tin thương hiệu. Việc xây dựng một chiến lược phòng thủ mạnh mẽ là rất cần thiết để chống lại các tấn công phishing như vậy.

Tăng cường An ninh Mạng

Đầu tiên, các tổ chức cần triển khai các giải pháp lọc email hiệu quả. Các giải pháp này phải có khả năng kiểm tra liên kết để phát hiện các tên miền phishing đã biết và các điểm bất thường trong thông tin người gửi.

Thứ hai, việc giáo dục người dùng là tối quan trọng để nâng cao an ninh mạng. Cần nhấn mạnh sự hoài nghi đối với các thông báo thanh toán không được yêu cầu, ngay cả khi chúng được trình bày dưới một thương hiệu có uy tín như Microsoft.

Thứ ba, các giải pháp bảo mật điểm cuối phải có khả năng phát hiện hành vi trình duyệt bất thường. Ví dụ như màn hình khóa giả lập, có thể đưa ra cảnh báo trước khi người dùng liên hệ với bộ phận hỗ trợ giả mạo.

Cuối cùng, việc duy trì các kế hoạch ứng phó sự cố cập nhật là rất quan trọng. Các kế hoạch này bao gồm quy trình xác minh các kênh hỗ trợ hợp pháp. Điều này giúp ngăn nạn nhân vô tình cung cấp thông tin đăng nhập hoặc quyền truy cập từ xa.

Việc vũ khí hóa logo của Microsoft trong vụ lừa đảo này nêu bật một thực tế đáng báo động: sự nhận diện thương hiệu có thể bị lợi dụng để vượt qua các lớp phòng thủ của người dùng.

Bằng cách kết hợp mồi nhử thanh toán, CAPTCHA giả mạo, lớp phủ UI lừa đảo và kỹ thuật xã hội qua điện thoại, kẻ tấn công tạo ra một cái bẫy nhiều lớp. Cái bẫy này khai thác lòng tin và sự cấp bách, khiến nạn nhân dễ dàng rơi vào bẫy tấn công phishing.

Sự cảnh giác vẫn là biện pháp phòng thủ hiệu quả nhất chống lại các tấn công phishing tinh vi. Các nhóm bảo mật và người dùng cuối đều phải đặt câu hỏi về các lời nhắc không mong muốn. Họ cần xác minh các liên hệ hỗ trợ thông qua các kênh chính thức và dựa vào một tư thế bảo mật toàn diện để bảo vệ hệ thống của mình.