VietNetwork.Vn

Các nhà nghiên cứu an ninh mạng đã tiết lộ một bộ công cụ lừa đảo mới được sử dụng trong các chiến dịch nhắm vào Úc, Nhật Bản, Tây Ban Nha, Vương quốc Anh và Hoa Kỳ kể từ ít nhất tháng 9 năm 2024.

Netcraft cho biết hơn 2.000 trang web lừa đảo đã được xác định là có sử dụng bộ công cụ có tên gọi là Xiū gǒu, được dùng trong các cuộc tấn công nhằm vào nhiều lĩnh vực khác nhau, chẳng hạn như khu vực công, bưu chính, dịch vụ kỹ thuật số và dịch vụ ngân hàng.


Netcraft cho biết trong báo cáo được công bố hôm thứ Năm: "Những kẻ đe dọa sử dụng bộ công cụ để triển khai các trang web lừa đảo thường dựa vào khả năng chống bot và che giấu lưu trữ của Cloudflare để tránh bị phát hiện".

Một số khía cạnh của bộ công cụ lừa đảo đã được các nhà nghiên cứu bảo mật Will Thomas (@ BushidoToken) và Fox_threatintel (@banthisguy9349) ghi lại vào tháng trước.

Các công cụ lừa đảo như Xiū gǒu có thể gây ra rủi ro vì chúng có thể làm giảm rào cản gia nhập đối với những tin tặc ít kỹ năng hơn, có khả năng dẫn đến gia tăng các chiến dịch độc hại có thể dẫn đến đánh cắp thông tin nhạy cảm.

Xiū gǒu, được phát triển bởi một tác nhân đe dọa nói tiếng Trung Quốc, cung cấp cho người dùng bảng điều khiển quản trị và được phát triển bằng các công nghệ như Golang và Vue.js. Bộ công cụ này cũng được thiết kế để đánh cắp thông tin xác thực và thông tin khác từ các trang lừa đảo giả mạo được lưu trữ trên tên miền cấp cao nhất ".top" qua Telegram.

Các cuộc tấn công lừa đảo được lan truyền qua tin nhắn Rich Communications Services (RCS) thay vì SMS, cảnh báo người nhận về các khoản phạt đỗ xe và giao hàng không thành công. Các tin nhắn cũng hướng dẫn họ nhấp vào liên kết được rút gọn bằng dịch vụ rút gọn URL để trả tiền phạt hoặc cập nhật địa chỉ giao hàng.

Netcraft cho biết: "Những vụ lừa đảo này thường dụ dỗ nạn nhân cung cấp thông tin cá nhân và thực hiện thanh toán, ví dụ như để nhận bưu kiện hoặc nộp tiền phạt".

RCS, chủ yếu có sẵn qua Apple Messages (bắt đầu từ iOS 18 ) và Google Messages dành cho Android, cung cấp cho người dùng trải nghiệm nhắn tin nâng cấp với hỗ trợ chia sẻ tệp, chỉ báo đang nhập và hỗ trợ tùy chọn cho mã hóa đầu cuối (E2EE).

Trong bài đăng trên blog vào cuối tháng trước, gã khổng lồ công nghệ đã nêu chi tiết các biện pháp bảo vệ mới mà họ đang thực hiện để chống lại các vụ lừa đảo qua mạng, bao gồm triển khai tính năng phát hiện lừa đảo nâng cao bằng cách sử dụng các mô hình máy học trên thiết bị để lọc cụ thể các tin nhắn gian lận liên quan đến việc giao hàng và cơ hội việc làm.

Google cũng cho biết họ đang thử nghiệm cảnh báo bảo mật khi người dùng ở Ấn Độ, Thái Lan, Malaysia và Singapore nhận được tin nhắn văn bản từ người gửi không xác định có liên kết có khả năng gây nguy hiểm. Các biện pháp bảo vệ mới, dự kiến sẽ được mở rộng trên toàn cầu vào cuối năm nay, cũng chặn các tin nhắn có liên kết từ người gửi đáng ngờ.

Cuối cùng, chuyên gia tìm kiếm đang thêm tùy chọn "tự động ẩn tin nhắn từ những người gửi quốc tế không phải là danh bạ hiện tại" bằng cách chuyển chúng vào thư mục "Thư rác & bị chặn". Tính năng này lần đầu tiên được kích hoạt dưới dạng thử nghiệm tại Singapore.


Tiết lộ này được đưa ra sau khi Cisco Talos tiết lộ rằng người dùng tài khoản quảng cáo và kinh doanh trên Facebook tại Đài Loan đang bị một tác nhân đe dọa không rõ danh tính nhắm tới trong chiến dịch lừa đảo được thiết kế để phát tán phần mềm độc hại đánh cắp dữ liệu như Lumma hoặc Rhadamanthys.

Tin nhắn dụ dỗ được nhúng kèm một liên kết, khi nhấp vào, nạn nhân sẽ được chuyển đến tên miền Dropbox hoặc Google Appspot, kích hoạt việc tải xuống tệp RAR chứa tệp thực thi PDF giả, đóng vai trò như một phương tiện để phát tán phần mềm độc hại đánh cắp.

Nhà nghiên cứu Joey Chen của Talos cho biết : "Email giả mạo và tên tệp PDF giả được thiết kế để mạo danh bộ phận pháp lý của công ty, cố gắng dụ nạn nhân tải xuống và thực thi phần mềm độc hại", đồng thời nói thêm rằng hoạt động này đã diễn ra từ tháng 7 năm 2024.

"Các email yêu cầu xóa nội dung vi phạm trong vòng 24 giờ, ngừng sử dụng nếu không có sự cho phép bằng văn bản và cảnh báo về khả năng xảy ra hành động pháp lý và yêu cầu bồi thường nếu không tuân thủ."

Các chiến dịch lừa đảo cũng được phát hiện mạo danh OpenAI nhắm vào các doanh nghiệp trên toàn thế giới, yêu cầu họ cập nhật ngay thông tin thanh toán bằng cách nhấp vào siêu liên kết ẩn.

"Cuộc tấn công này được gửi từ một tên miền duy nhất đến hơn 1.000 người nhận", Barracuda cho biết trong một báo cáo. "Tuy nhiên, email đã sử dụng các siêu liên kết khác nhau trong nội dung email, có thể là để tránh bị phát hiện. Email đã vượt qua các kiểm tra DKIM và SPF, điều đó có nghĩa là email được gửi từ một máy chủ được ủy quyền để gửi email thay mặt cho tên miền. Tuy nhiên, bản thân tên miền lại đáng ngờ".