DDos
VIP Members
-
22/10/2013
-
524
-
2.191 bài viết
Cảnh báo chiến dịch phishing nhằm vào người dùng Google Workspace
Hacker phát động một chiến dịch lừa đảo AiTM (adversary in the middle) quy mô lớn nhắm mục tiêu người dùng doanh nghiệp sử dụng dịch vụ email của Microsoft, và người dùng Google Workspace.
Các nhà nghiên cứu của Zscaler, Sudeep Singh và Jagadeeswar Ramanukolanu cho biết trong một báo cáo: "Chiến dịch này nhắm mục tiêu cụ thể đến giám đốc điều hành và các thành viên cấp cao của nhiều tổ chức sử dụng Google Workspace".
Các cuộc tấn công lừa đảo AiTM bắt đầu vào giữa tháng 7 năm 2022, hình thức hoạt động tương tự như chiến dịch tấn công phi kỹ thuật (social engineering) để đánh cắp thông tin đăng nhập Microsoft của người dùng và thậm chí vượt qua xác thực đa yếu tố.
Chiến dịch lừa đảo Gmail AiTM với quy mô nhỏ hơn đòi hỏi việc sử dụng các email bị xâm nhập của các giám đốc điều hành để tiến hành tấn công phi kỹ thuật. Hacker sẽ sử dụng một vài tên miền bị xâm phạm để chuyển hướng nạn nhân tới các URL khác nhau.
Bắt đầu bằng việc gửi email có chứa liên kết độc hại với nội dung cần thay đổi mật khẩu để "mở rộng quyền truy cập của bạn" đến các mục tiêu tiềm năng. Khi nhấn vào liên kết, nạn nhân bị chuyển hướng tới Google Ads và Snapchat để tải URL trang lừa đảo.
Ngoài việc lạm dụng chuyển hướng, hacker còn sử dụng các trang web độc hại chứa địa chỉ chuyển tiếp và địa chỉ email của nạn nhân ở dạng mã hóa Base64 trong URL. Trình chuyển hướng trung gian này là một mã JavaScript trỏ đến một trang Gmail lừa đảo.
Zscaler phát hiện một số trang web chuyển tiếp được sử dụng trong cuộc tấn công lừa đảo AiTM nhắm mục tiêu các tài khoản Microsoft vào ngày 11 tháng 7. Chiến dịch nhắm mục tiêu người dùng Gmail được phát động vào ngày 16 tháng 7. Zscaler cho rằng cả hai chiến dịch này đều do một nhóm hacker thực hiện.
Các nhà nghiên cứu cho biết: "Cũng có sự trùng lặp nhất định về cơ sở hạ tầng và chúng tôi thậm chí đã xác định được một số trường hợp trong đó hacker chuyển từ lừa đảo Microsoft AiTM sang lừa đảo Gmail bằng cách sử dụng cùng một cơ sở hạ tầng".
Phát hiện này cho thấy các biện pháp bảo vệ xác thực đa yếu tố không hề an toàn trong các cuộc tấn công lừa đảo tinh vi. Để đảm bảo an toàn, người dùng phải xem xét kỹ lưỡng các URL trước khi nhập thông tin đăng nhập và không mở tệp đính kèm hoặc nhấp vào liên kết trong email được gửi từ các nguồn không đáng tin cậy hoặc không xác định.
Các nhà nghiên cứu của Zscaler, Sudeep Singh và Jagadeeswar Ramanukolanu cho biết trong một báo cáo: "Chiến dịch này nhắm mục tiêu cụ thể đến giám đốc điều hành và các thành viên cấp cao của nhiều tổ chức sử dụng Google Workspace".
Các cuộc tấn công lừa đảo AiTM bắt đầu vào giữa tháng 7 năm 2022, hình thức hoạt động tương tự như chiến dịch tấn công phi kỹ thuật (social engineering) để đánh cắp thông tin đăng nhập Microsoft của người dùng và thậm chí vượt qua xác thực đa yếu tố.
Chiến dịch lừa đảo Gmail AiTM với quy mô nhỏ hơn đòi hỏi việc sử dụng các email bị xâm nhập của các giám đốc điều hành để tiến hành tấn công phi kỹ thuật. Hacker sẽ sử dụng một vài tên miền bị xâm phạm để chuyển hướng nạn nhân tới các URL khác nhau.
Bắt đầu bằng việc gửi email có chứa liên kết độc hại với nội dung cần thay đổi mật khẩu để "mở rộng quyền truy cập của bạn" đến các mục tiêu tiềm năng. Khi nhấn vào liên kết, nạn nhân bị chuyển hướng tới Google Ads và Snapchat để tải URL trang lừa đảo.
Ngoài việc lạm dụng chuyển hướng, hacker còn sử dụng các trang web độc hại chứa địa chỉ chuyển tiếp và địa chỉ email của nạn nhân ở dạng mã hóa Base64 trong URL. Trình chuyển hướng trung gian này là một mã JavaScript trỏ đến một trang Gmail lừa đảo.
Zscaler phát hiện một số trang web chuyển tiếp được sử dụng trong cuộc tấn công lừa đảo AiTM nhắm mục tiêu các tài khoản Microsoft vào ngày 11 tháng 7. Chiến dịch nhắm mục tiêu người dùng Gmail được phát động vào ngày 16 tháng 7. Zscaler cho rằng cả hai chiến dịch này đều do một nhóm hacker thực hiện.
Các nhà nghiên cứu cho biết: "Cũng có sự trùng lặp nhất định về cơ sở hạ tầng và chúng tôi thậm chí đã xác định được một số trường hợp trong đó hacker chuyển từ lừa đảo Microsoft AiTM sang lừa đảo Gmail bằng cách sử dụng cùng một cơ sở hạ tầng".
Phát hiện này cho thấy các biện pháp bảo vệ xác thực đa yếu tố không hề an toàn trong các cuộc tấn công lừa đảo tinh vi. Để đảm bảo an toàn, người dùng phải xem xét kỹ lưỡng các URL trước khi nhập thông tin đăng nhập và không mở tệp đính kèm hoặc nhấp vào liên kết trong email được gửi từ các nguồn không đáng tin cậy hoặc không xác định.
Theo: thehackernews
Chỉnh sửa lần cuối bởi người điều hành: