Một chiến dịch tấn công lừa đảo tiền điện tử tinh vi đang nhắm mục tiêu vào người dùng khắp Châu Á, đặc biệt tập trung vào Nhật Bản. Hoạt động này kết hợp độc đáo hai mô hình gian lận riêng biệt thành một vector tấn công duy nhất, có hiệu quả cao: malvertising và “pig butchering”. Bằng cách pha trộn khả năng tiếp cận rộng rãi của quảng cáo độc hại với thao túng tâm lý của kỹ thuật xã hội dài hạn, tội phạm mạng đã thành công trong việc đánh cắp những khoản tiền lớn từ các nhà đầu tư không nghi ngờ.

Các báo cáo gần đây chỉ ra rằng các nạn nhân cá nhân đã phải chịu tổn thất tài chính lên tới 10 triệu yên sau khi rơi vào các kế hoạch tinh vi này. Đây là một mối đe dọa mạng đáng kể đối với người dùng cá nhân và tổ chức tài chính.

Cơ chế Tấn công Malvertising và Chuyển hướng Ban đầu

Trình tự tấn công bắt đầu với malvertising, nơi các tác nhân đe dọa đặt các quảng cáo giả mạo một cách thuyết phục trên các nền tảng mạng xã hội lớn như Facebook và Instagram. Những quảng cáo này thường mạo danh các chuyên gia tài chính nổi tiếng hoặc quảng bá các thuật toán đầu tư “được điều khiển bởi AI” độc quyền để dụ dỗ nạn nhân.

Khi người dùng nhấp vào các quảng cáo này, họ sẽ được chuyển hướng đến các trang web “mồi” lừa đảo được thiết kế để bắt chước các cổng đầu tư hợp pháp. Những trang web này cuối cùng sẽ nhắc nạn nhân tham gia một nhóm trò chuyện trên các ứng dụng nhắn tin như LINE, WhatsApp hoặc KakaoTalk bằng cách quét mã QR để nhận được hướng dẫn “đặc biệt”.

Các nhà phân tích của Infoblox đã xác định được hệ sinh thái mã độc này sau khi quan sát một cụm lớn các tên miền đáng ngờ được truy vấn không cân xứng bởi người dùng ở Nhật Bản. Điều này nhấn mạnh tầm quan trọng của việc theo dõi các bất thường trong lưu lượng truy cập mạng. Bạn có thể tìm hiểu thêm về phân tích này tại Infoblox Blog.

Mô hình “Pig Butchering” Đột phá với AI

Khi nạn nhân đã tham gia các ứng dụng nhắn tin, họ không tương tác với người thật mà nhiều khả năng là với các bot được điều khiển bởi AI tiên tiến. Những tác nhân tự động này đóng vai trò là trợ lý, liên tục trò chuyện với nạn nhân để xây dựng lòng tin. Đây là một ví dụ điển hình về việc khai thác social engineering ở quy mô lớn.

Kỹ thuật Xã hội và Thao túng Tài chính

Các bot chia sẻ những câu chuyện thành công bịa đặt và khuyến khích các khoản đầu tư nhỏ ban đầu dường như mang lại lợi nhuận cao. Mục đích là để gây dựng lòng tin và chứng minh “hiệu quả” của khoản đầu tư. Cuối cùng, nạn nhân bị thuyết phục chuyển các khoản tiền lớn hơn. Sự tin tưởng mù quáng này dẫn đến những tổn thất nghiêm trọng.

Khi nạn nhân cố gắng rút tiền, những kẻ lừa đảo sẽ yêu cầu một “phí giải phóng”, gây ra thiệt hại tài chính thêm trước khi tội phạm biến mất. Mô hình này được gọi là “pig butchering” (mổ lợn) vì nó liên quan đến việc vỗ béo nạn nhân bằng những lợi nhuận ban đầu trước khi chiếm đoạt toàn bộ tài sản.

Tự động hóa và Khả năng Mở rộng của Chiến dịch

Một khía cạnh quan trọng của chiến dịch tấn công lừa đảo tiền điện tử này là sự phụ thuộc vào tự động hóa để mở rộng quy mô hoạt động trên toàn cầu. Những kẻ tấn công sử dụng Registered Domain Generation Algorithms (RDGAs) để tạo ra hàng ngàn tên miền mới một cách nhanh chóng.

Kỹ thuật này cho phép chúng xoay vòng hạ tầng nhanh chóng, gây khó khăn cho các đội an ninh trong việc chặn đứng scam một cách hiệu quả. Hơn 23.000 tên miền đã được liên kết với hệ sinh thái này, thường sử dụng các tên miền “giả mạo” (lookalike names) để trông có vẻ hợp pháp.

Vai trò của AI trong Giao tiếp Lừa đảo

Hơn nữa, các tương tác trò chuyện thể hiện rõ ràng các dấu hiệu của sự hỗ trợ từ AI, chẳng hạn như phản hồi tức thì 24/7 và chuyển đổi ngôn ngữ liền mạch. Sự tự động hóa này cho phép những kẻ lừa đảo duy trì các cuộc tấn công social engineering chất lượng cao mà không bị hạn chế về lao động của các mô hình gian lận truyền thống.

Hạ tầng cho thấy một mô hình “dịch vụ” cho phép nhiều tác nhân thực hiện các cuộc tấn công đồng thời bằng cách sử dụng cùng một công cụ. Điều này làm cho việc theo dõi và chặn chúng trở nên phức tạp hơn rất nhiều. Các nhà nghiên cứu bảo mật cần phát triển các phương pháp mới để phát hiện các bot dựa trên AI.

Chỉ số Thỏa hiệp (IOCs) và Thách thức Phát hiện

Do việc sử dụng RDGAs, các IOC liên quan đến tên miền của chiến dịch này rất động và thay đổi liên tục. Việc xác định và chặn từng tên miền riêng lẻ là một thách thức lớn. Thay vào đó, các tổ chức cần tập trung vào các mẫu hành vi và phân tích dữ liệu lưu lượng truy cập lớn.

Mặc dù không có danh sách cụ thể các tên miền tĩnh để liệt kê, các mẫu IOC có thể bao gồm:

• Mẫu tên miền: Tên miền được tạo ra tự động có cấu trúc không theo quy tắc, thường là chuỗi ký tự ngẫu nhiên hoặc biến thể nhỏ của các tên miền hợp pháp (typosquatting).
• Địa chỉ IP: Các địa chỉ IP được sử dụng bởi các máy chủ độc hại có thể thay đổi nhanh chóng, nhưng có thể có các dải IP hoặc ASN được sử dụng liên tục.
• Mã QR: Mã QR dẫn đến các ứng dụng nhắn tin không xác định hoặc không liên quan đến nguồn quảng cáo.
• Mẫu tương tác trò chuyện: Các mẫu phản hồi tự động, tốc độ phản hồi không tự nhiên, hoặc yêu cầu tài chính bất thường trong các ứng dụng nhắn tin.

Việc theo dõi các truy vấn DNS bất thường đến các tên miền mới được đăng ký với các mẫu tương tự, đặc biệt là từ các khu vực địa lý mục tiêu, có thể giúp phát hiện sớm các chiến dịch này.

Phòng ngừa và Giảm thiểu Rủi ro Bảo mật

Để đối phó với chiến dịch tấn công lừa đảo tiền điện tử tinh vi này, các biện pháp phòng ngừa cần được áp dụng ở nhiều cấp độ:

• Cảnh giác của người dùng: Người dùng cần cực kỳ thận trọng với các quảng cáo đầu tư trên mạng xã hội, đặc biệt là những quảng cáo hứa hẹn lợi nhuận cao bất thường hoặc yêu cầu chuyển hướng đến các ứng dụng nhắn tin cá nhân. Luôn xác minh tính hợp pháp của các lời mời đầu tư.
• Kiểm tra tên miền: Luôn kiểm tra kỹ tên miền của bất kỳ trang web đầu tư nào. Tìm kiếm các lỗi chính tả, ký tự thêm hoặc bất kỳ điểm bất thường nào.
• Đào tạo nhận thức về social engineering: Các tổ chức và cá nhân cần được đào tạo về các kỹ thuật social engineering, bao gồm cả mô hình “pig butchering” và cách nhận diện các dấu hiệu của sự thao túng tâm lý.
• Sử dụng giải pháp an ninh mạng: Các công cụ bảo mật mạng tiên tiến có khả năng phân tích lưu lượng DNS để phát hiện các tên miền được tạo bằng RDGA và các hành vi bất thường là rất quan trọng để giảm thiểu rủi ro bảo mật từ các cuộc tấn công mạng này.
• Báo cáo hoạt động đáng ngờ: Báo cáo các quảng cáo lừa đảo và các trang web giả mạo cho nền tảng mạng xã hội và các cơ quan chức năng để giúp ngăn chặn sự lây lan của các chiến dịch này.

Cuộc tấn công lừa đảo tiền điện tử này là một minh chứng rõ ràng về cách tội phạm mạng ngày càng trở nên tinh vi hơn, sử dụng công nghệ tiên tiến như AI và tự động hóa để tối đa hóa hiệu quả của các chiến dịch lừa đảo.