Trong những tháng gần đây, Trustwave SpiderLabs – một công ty của LevelBlue nổi tiếng với các dịch vụ tình báo mối đe dọa và ứng phó sự cố – đã ghi nhận sự gia tăng đáng kể của các tấn công phishing lợi dụng nền tảng marketing email hợp pháp để che giấu các liên kết độc hại.

Bằng cách chiếm đoạt cơ sở hạ tầng đã được thiết lập và các trình chuyển hướng URL, kẻ tấn công đang né tránh các biện pháp phòng thủ truyền thống và lừa nạn nhân tiết lộ thông tin nhạy cảm.

Chiến lược Ẩn mình của các Chiến dịch Phishing Hiện đại

Để chống lại những chiến thuật ngày càng phát triển này, Trustwave vận hành PageML, một hệ thống quét URL lai kết hợp học máy (machine learning) và học sâu (deep learning) với khung dựa trên quy tắc.

PageML phân tích cấu trúc URL và nội dung trang web trong thời gian thực, dự đoán liệu điểm đến có phải là độc hại hay lành tính. Tuy nhiên, các chiến dịch gần đây đã thách thức giới hạn của PageML, khi đối thủ ẩn mình sau các tên miền đáng tin cậy và nhiều lần chuyển hướng.

Khai thác Nền tảng Email Marketing

Một ví dụ nổi bật khai thác tên miền theo dõi nhấp chuột của Klaviyo là klclick3.com. Kẻ tấn công tạo các email phishing – thường có chủ đề như “Tin nhắn thoại mới” (New Voicemail) – chứa các liên kết bắt đầu bằng https://ctrk.klclick3.com.

Một URL mẫu, được ngụy trang như một thông báo tin nhắn thoại, cuối cùng chuyển hướng qua klclick3.com đến một trang phishing tùy chỉnh. Trang cuối cùng này tự động tìm nạp logo công ty nạn nhân thông qua Clearbit và vô hiệu hóa chức năng nhấp chuột phải để ngăn chặn việc phân tích.

Tương tự, các email phishing mạo danh DocuSign nhúng các liên kết sử dụng tên miền theo dõi của Drip Global là dripemail2.com.

Nhấp vào liên kết sẽ dẫn qua tên miền của Drip đến một trang Microsoft Security giả mạo. Các tham số được mã hóa Base64 nhúng ẩn các chuyển hướng tiếp theo đến các biểu mẫu đăng nhập thu thập thông tin xác thực.

Đáng chú ý, tại thời điểm phát hiện, chỉ có hệ thống quét của Trustwave mới phát hiện các chuyển hướng độc hại này trong VirusTotal, điều này nhấn mạnh giá trị của PageML trong việc xác định sớm các mối đe dọa mạng.

Theo Báo cáo của Trustwave SpiderLabs, họ vẫn cam kết tinh chỉnh khả năng phát hiện và chia sẻ thông tin tình báo có thể hành động để đi trước một bước so với những mối đe dọa lừa đảo này. Tìm hiểu thêm về các chiến dịch phishing được PageML phát hiện.

Lợi dụng Dịch vụ Cloud Hosting

Ngoài các nền tảng marketing email, các tác nhân đe dọa còn chuyển sang sử dụng dịch vụ lưu trữ đám mây để phục vụ các trang phishing.

Trong một chiến dịch, các email độc hại tự nhận là phiếu thanh toán bao gồm các tệp đính kèm hình ảnh liên kết đến *.s3.us-east-1.amazonaws.com.

Các trang được lưu trữ trên S3 này bắt chước các biểu mẫu đăng nhập Roundcube Webmail, hoàn chỉnh với các thử thách Cloudflare Turnstile nhúng và tính năng thu thập thông tin xác thực dựa trên AJAX.

Việc lạm dụng Dịch vụ Web của Amazon này không chỉ tạo thêm độ tin cậy cho vụ lừa đảo mà còn làm phức tạp các nỗ lực gỡ bỏ (takedown).

Chiếm đoạt Tên miền Doanh nghiệp Hợp pháp

Kẻ tấn công cũng tiếp tục xâm phạm các tên miền doanh nghiệp hợp pháp. Ví dụ, airswift.ae, một trang web dịch vụ vận chuyển hàng hóa chính hãng, đã được phát hiện đang lưu trữ một trang phishing “Tài liệu An toàn” (Secure Document).

Khách truy cập trước tiên được hiển thị một CAPTCHA của Cloudflare trước khi được chuyển tiếp đến một trang đăng nhập Microsoft giả mạo đã được làm rối hoàn toàn (fully obfuscated).

Bằng cách xen kẽ nội dung lành tính, các thử thách CAPTCHA và các chuyển hướng nhiều lớp, kẻ tấn công tiếp tục trì hoãn việc phát hiện và làm đóng băng phân tích tự động.

Chỉ số Nhận diện Tấn công (IOCs)

Các chỉ số nhận diện tấn công (IOCs) sau đây đã được quan sát trong các chiến dịch tấn công phishing được đề cập:

• Tên miền theo dõi bị lợi dụng: klclick3.com
• Tên miền theo dõi bị lợi dụng: dripemail2.com
• URL lưu trữ phishing trên đám mây: *.s3.us-east-1.amazonaws.com
• Tên miền doanh nghiệp bị xâm phạm: airswift.ae
• Địa chỉ email không liên quan trong tiêu đề Reply-To (ví dụ: không phải của công ty nạn nhân).

Biện pháp Giảm thiểu và Nâng cao An ninh Mạng

Các chiến dịch này minh họa một sự thay đổi rõ ràng trong chiến lược phishing, kết hợp các thủ đoạn cũ như tên miền bị xâm phạm với các chiến thuật né tránh mới.

Các tổ chức có thể giảm thiểu những mối đe dọa đang gia tăng này bằng cách áp dụng một phương pháp tiếp cận đa lớp:

• Đào tạo và Nâng cao Nhận thức Người dùng: Thường xuyên huấn luyện nhân viên về các dấu hiệu của email phishing và các cuộc tấn công kỹ thuật xã hội.
• Triển khai Giải pháp Bảo mật Email Nâng cao: Sử dụng các hệ thống lọc email mạnh mẽ có khả năng phát hiện các liên kết và tệp đính kèm độc hại, bao gồm cả những liên kết ẩn sau các dịch vụ hợp pháp.
• Giám sát URL và Tên miền: Thực hiện giám sát chủ động các tên miền và URL đáng ngờ, đặc biệt là những URL sử dụng dịch vụ chuyển hướng hoặc lưu trữ đám mây.
• Sử dụng Xác thực Đa yếu tố (MFA): Bắt buộc sử dụng MFA cho tất cả các dịch vụ quan trọng để thêm một lớp bảo mật chống lại việc thu thập thông tin xác thực thành công.
• Cập nhật Hệ thống và Phần mềm: Đảm bảo tất cả các hệ thống, ứng dụng và phần mềm bảo mật được cập nhật liên tục với các bản vá lỗi mới nhất để đóng các lỗ hổng đã biết.
• Phân tích Dữ liệu Log: Thường xuyên kiểm tra và phân tích dữ liệu log từ các hệ thống email, proxy và mạng để phát hiện các hoạt động bất thường hoặc chỉ báo của một cuộc tấn công.
• Triển khai Giải pháp Endpoint Detection and Response (EDR): Sử dụng EDR để giám sát và phản ứng với các mối đe dọa trên các thiết bị đầu cuối một cách hiệu quả.

Khi các chiến dịch tấn công phishing ngày càng trở nên tinh vi hơn, các tổ chức phải liên tục thích ứng để duy trì một vị thế an ninh mạng vững chắc.