VietNetwork.Vn

Một chiến dịch phần mềm độc hại mới liên quan đến thuế nhắm vào các lĩnh vực bảo hiểm và tài chính đã được phát hiện bằng cách sử dụng các liên kết GitHub trong các email lừa đảo như một cách để vượt qua các biện pháp bảo mật và phát tán Remcos RAT, cho thấy phương pháp này đang được các tác nhân đe dọa ưa chuộng.

Nhà nghiên cứu Jacob Malimban của Cofense cho biết : "Trong chiến dịch này, các kho lưu trữ hợp pháp như phần mềm khai thuế nguồn mở, UsTaxes, HMRC và InlandRevenue đã được sử dụng thay vì các kho lưu trữ không rõ nguồn gốc và có xếp hạng thấp".


"Sử dụng các kho lưu trữ đáng tin cậy để phát tán phần mềm độc hại là việc tương đối mới so với việc các tác nhân đe dọa tạo ra các kho lưu trữ GitHub độc hại của riêng họ. Các liên kết GitHub độc hại này có thể được liên kết với bất kỳ kho lưu trữ nào cho phép bình luận."

Trọng tâm của chuỗi tấn công là việc lạm dụng cơ sở hạ tầng GitHub để dàn dựng các payload độc hại. Một biến thể của kỹ thuật này, lần đầu tiên được OALABS Research tiết lộ vào tháng 3 năm 2024, bao gồm các tác nhân đe dọa mở một vấn đề GitHub trên các kho lưu trữ nổi tiếng và tải lên đó một payload độc hại, sau đó đóng vấn đề mà không lưu lại.

Khi thực hiện như vậy, người ta phát hiện ra rằng phần mềm độc hại được tải lên vẫn tồn tại ngay cả khi sự cố không bao giờ được lưu, một phương thức dễ bị lợi dụng vì nó cho phép kẻ tấn công tải lên bất kỳ tệp nào chúng chọn và không để lại bất kỳ dấu vết nào ngoại trừ liên kết đến chính tệp đó.

Phương pháp này đã được sử dụng để lừa người dùng tải xuống trình tải phần mềm độc hại dựa trên Lua có khả năng thiết lập sự tồn tại dai dẳng trên các hệ thống bị nhiễm và phân phối thêm các phần mềm độc hại khác, như Morphisec đã nêu chi tiết trong tuần này.

Chiến dịch lừa đảo được Cofense phát hiện sử dụng một chiến thuật tương tự, điểm khác biệt duy nhất là nó sử dụng các bình luận GitHub để đính kèm một tệp (tức là phần mềm độc hại), sau đó bình luận sẽ bị xóa. Giống như trong trường hợp đã đề cập ở trên, liên kết vẫn hoạt động và được truyền bá qua email lừa đảo.


"Email có liên kết đến GitHub có hiệu quả trong việc bỏ qua bảo mật SEG vì GitHub thường là một tên miền đáng tin cậy", Malimban cho biết. "Liên kết GitHub cho phép kẻ tấn công liên kết trực tiếp đến kho lưu trữ phần mềm độc hại trong email mà không cần phải sử dụng Google chuyển hướng, mã QR hoặc các kỹ thuật bỏ qua SEG khác".

Sự phát triển này diễn ra khi Barracuda Networks tiết lộ những phương pháp mới được những kẻ lừa đảo áp dụng, bao gồm mã QR dựa trên ASCII và Unicode cũng như URL blob như một cách để khiến việc chặn nội dung độc hại và trốn tránh phát hiện trở nên khó khăn hơn.

Nhà nghiên cứu bảo mật Ashitosh Deshnur cho biết : "URI blob (còn gọi là URL blob hoặc URL đối tượng) được trình duyệt sử dụng để biểu diễn dữ liệu nhị phân hoặc các đối tượng giống tệp (gọi là blob) được lưu trữ tạm thời trong bộ nhớ của trình duyệt".

"URI blob cho phép các nhà phát triển web làm việc với dữ liệu nhị phân như hình ảnh, video hoặc tệp trực tiếp trong trình duyệt mà không cần phải gửi hoặc truy xuất dữ liệu đó từ máy chủ bên ngoài."

Tiếp theo nghiên cứu mới từ ESET cho thấy những kẻ đe dọa đằng sau bộ công cụ Telekopye Telegram đã mở rộng mục tiêu ra ngoài các vụ lừa đảo trên thị trường trực tuyến để nhắm vào các nền tảng đặt phòng như   Đăng nhập để xem liên kết và Airbnb, với sự gia tăng mạnh được phát hiện vào tháng 7 năm 2024.


Các cuộc tấn công này đặc trưng bởi việc sử dụng tài khoản bị xâm phạm của các khách sạn và nhà cung cấp chỗ ở hợp pháp để liên hệ với các mục tiêu tiềm năng, nêu ra các vấn đề liên quan đến thanh toán đặt phòng và lừa họ nhấp vào liên kết giả mạo yêu cầu họ nhập thông tin tài chính của mình.

"Bằng cách sử dụng quyền truy cập vào các tài khoản này, những kẻ lừa đảo sẽ chọn ra những người dùng vừa mới đặt phòng và chưa thanh toán – hoặc thanh toán rất gần đây – và liên hệ với họ qua trò chuyện trên nền tảng", các nhà nghiên cứu Jakub Souček và Radek Jizba cho biết. "Tùy thuộc vào nền tảng và cài đặt của Mammoth, điều này dẫn đến việc Mammoth nhận được email hoặc tin nhắn SMS từ nền tảng đặt phòng".

"Điều này khiến trò lừa đảo khó phát hiện hơn nhiều, vì thông tin được cung cấp có liên quan trực tiếp đến nạn nhân, được gửi qua kênh truyền thông dự kiến và các trang web giả mạo được liên kết trông giống như thông tin dự kiến."

Hơn nữa, việc đa dạng hóa dấu vết nạn nhân đã được bổ sung bằng những cải tiến đối với bộ công cụ cho phép các nhóm lừa đảo đẩy nhanh quá trình lừa đảo bằng cách sử dụng tính năng tạo trang lừa đảo tự động, cải thiện giao tiếp với mục tiêu thông qua các chatbot tương tác, bảo vệ các trang web lừa đảo khỏi sự phá hoại của đối thủ cạnh tranh và các mục tiêu khác.

Hoạt động của Telekopye không phải là không có những trục trặc. Vào tháng 12 năm 2023, các quan chức thực thi pháp luật từ Cộng hòa Séc và Ukraine đã thông báo bắt giữ một số tội phạm mạng bị cáo buộc đã sử dụng bot Telegram độc hại.

"Các lập trình viên đã tạo ra, cập nhật, bảo trì và cải thiện chức năng của bot Telegram và các công cụ lừa đảo, cũng như đảm bảo tính ẩn danh của đồng phạm trên internet và cung cấp lời khuyên về việc che giấu hoạt động tội phạm", Cảnh sát Cộng hòa Séc cho biết trong một tuyên bố vào thời điểm đó.

"Các nhóm đang được đề cập được quản lý, từ không gian làm việc chuyên dụng, bởi những người đàn ông trung niên từ Đông Âu và Tây Á và Trung Á", ESET cho biết. "Họ tuyển dụng những người có hoàn cảnh sống khó khăn, thông qua các bài đăng trên cổng thông tin việc làm hứa hẹn 'tiền dễ kiếm', cũng như bằng cách nhắm mục tiêu vào sinh viên nước ngoài có kỹ năng kỹ thuật tại các trường đại học".