Một chiến dịch tấn công mạng lừa đảo (phishing) mới và tinh vi đang nhắm mục tiêu vào nhân viên làm việc từ xa và quản trị viên IT. Chiến dịch này giả mạo cổng tải xuống VPN chính thức của Fortinet, tạo ra một mối đe dọa nghiêm trọng đối với an toàn thông tin của các tổ chức.

Điểm đặc biệt nguy hiểm của cuộc tấn công này là việc lợi dụng tối ưu hóa công cụ tìm kiếm (SEO) và, đáng báo động hơn, các bản tóm tắt tìm kiếm do AI tạo ra để dẫn dụ nạn nhân vào bẫy. Kẻ tấn công sử dụng cơ chế chuyển hướng đa tầng, bắt đầu từ các miền tin cậy để vượt qua các bộ lọc bảo mật ban đầu.

Mục tiêu cuối cùng là đánh cắp dữ liệu thông tin đăng nhập VPN và phân phối mã độc. Điều này làm tăng nguy cơ bị xâm nhập hệ thống và rò rỉ dữ liệu nhạy cảm.

Chiến Thuật Tấn Công Mạng Tinh Vi Nhắm Mục Tiêu Fortinet VPN

Khai Thác Niềm Tin và Dẫn Dụ Người Dùng

Chiến dịch tấn công mạng này được thiết kế để khai thác lòng tin của người dùng. Bằng cách giả mạo cổng tải xuống VPN của Fortinet, kẻ tấn công tạo ra một môi trường giả mạo trông rất chân thực.

Cơ chế chuyển hướng đa tầng là một phần quan trọng trong chuỗi tấn công. Nó giúp các trang web độc hại vượt qua các lớp bảo mật ban đầu và hệ thống phát hiện lừa đảo (phishing detection systems).

Người dùng bị dẫn dắt qua nhiều bước, cuối cùng là trang yêu cầu thông tin đăng nhập VPN. Việc chiếm đoạt thông tin này trực tiếp dẫn đến khả năng truy cập trái phép vào mạng nội bộ của doanh nghiệp.

Ngoài ra, kẻ tấn công còn phát tán các phần mềm độc hại (malware) ngay trong quá trình người dùng tải xuống ứng dụng giả mạo. Điều này làm gia tăng đáng kể rủi ro bảo mật cho các thiết bị và hệ thống.

Lợi Dụng AI và SEO Trong Tấn Công Mạng

Theo quan sát của nhà nghiên cứu bảo mật Alias G0njxa, các công cụ tìm kiếm hiện đại, đặc biệt là những công cụ có tính năng “câu trả lời nhanh” hoặc tóm tắt do AI tạo ra, đang vô tình tiếp tay cho chiến dịch tấn công mạng này.

Khi người dùng tìm kiếm “How to download Fortinet VPN”, một số bản tóm tắt AI đã trích xuất nội dung từ kho lưu trữ GitHub độc hại của kẻ tấn công (vpn-fortinet[.]github[.]io).

Các bản tóm tắt này trình bày nội dung đó dưới dạng hướng dẫn từng bước hợp pháp. Vì liên kết ban đầu được lưu trữ trên GitHub, một nền tảng uy tín, cả mô hình AI và người dùng đều có xu hướng tin tưởng nguồn này hơn.

Niềm tin “ảo tưởng” này khiến người dùng nhấp vào liên kết, khởi tạo chuỗi tấn công. Đây là một phương pháp mới và hiệu quả để kẻ xấu lợi dụng công nghệ hiện đại trong các cuộc tấn công mạng.

Quy Trình Xâm Nhập Đa Giai Đoạn

Cuộc tấn công theo một luồng thông minh, được phân đoạn, nhằm lọc ra các bot bảo mật và chỉ nhắm mục tiêu vào người dùng thực đến từ các công cụ tìm kiếm cụ thể. Kỹ thuật này giúp kẻ tấn công tránh bị phát hiện sớm bởi các hệ thống an ninh mạng tự động.

Bằng cách này, kẻ tấn công đảm bảo rằng chỉ những nạn nhân thực sự quan tâm và tìm kiếm thông tin liên quan mới bị nhắm đến. Điều này tăng tỷ lệ thành công của chiến dịch tấn công mạng và giảm thiểu rủi ro bị phát hiện.

Chỉ Dẫn Kỹ Thuật và Các Chỉ Số Thỏa Hiệp (IOCs)

Các Chỉ Số Thỏa Hiệp (IOCs) Cần Chặn

Để bảo vệ hệ thống khỏi chiến dịch tấn công mạng này, các quản trị viên IT nên ngay lập tức chặn các miền sau và điều tra bất kỳ lưu lượng truy cập nội bộ nào đã liên lạc với chúng.

• vpn-fortinet[.]github[.]io

Việc theo dõi và chặn kịp thời các IOCs này là bước đầu tiên và quan trọng để ngăn chặn sự lây lan của cuộc tấn công.

Hành Động Khẩn Cấp Cho Quản Trị Viên IT

Các tổ chức cần hướng dẫn quản trị viên IT thực hiện các hành động khẩn cấp. Việc chặn các miền độc hại ở cấp độ tường lửa hoặc proxy là điều bắt buộc. Đồng thời, cần rà soát lại nhật ký (logs) hệ thống để xác định các kết nối bất thường.

Quản trị viên cần kiểm tra các máy trạm và máy chủ có dấu hiệu liên hệ với các IOCs đã nêu. Điều này bao gồm việc quét mã độc và kiểm tra tính toàn vẹn của hệ thống.

Biện Pháp Bảo Mật và Nâng Cao Nhận Thức về An Ninh Mạng

Xác Minh Nguồn Tải Phần Mềm

Các tổ chức phải nhắc nhở nhân viên rằng việc tải xuống phần mềm hợp pháp hiếm khi yêu cầu thông tin đăng nhập xác thực trước khi cài đặt. Đây là một dấu hiệu cảnh báo rõ ràng về mối đe dọa bảo mật.

Tính xác thực của nguồn tải xuống phải luôn được xác minh bằng cách kiểm tra thanh URL để đảm bảo đó là miền chính thức của nhà cung cấp, ví dụ: fortinet.com. Luôn ưu tiên tải phần mềm trực tiếp từ trang web chính thức, như trang sản phẩm Fortinet VPN Client.

Cảnh Báo Về Tin Cậy AI Search Summaries

Chiến dịch này cũng làm nổi bật một rủi ro mới và quan trọng: không nên tin tưởng mù quáng vào các bản tóm tắt tìm kiếm do AI tạo ra. Mặc dù tiện lợi, các công cụ này thu thập dữ liệu từ web mở và có thể dễ dàng bị thao túng bởi các tác nhân đe dọa.

Kẻ tấn công sử dụng các chiến thuật SEO cơ bản để đẩy nội dung độc hại lên top các kết quả tìm kiếm và tóm tắt của AI. Điều này đòi hỏi người dùng phải luôn xác minh liên kết nguồn trước khi nhấp. Nâng cao nhận thức về an ninh mạng là yếu tố then chốt để chống lại các cuộc tấn công này.

Việc không xác minh nguồn có thể dẫn đến hậu quả nghiêm trọng, bao gồm đánh cắp dữ liệu cá nhân và doanh nghiệp, hoặc lây nhiễm mã độc.