VietNetwork.Vn

Đơn vị tội phạm kỹ thuật số của Microsoft cho biết họ đã hợp tác với Cloudflare để phối hợp thu giữ 338 tên miền được sử dụng bởi RaccoonO365, một nhóm đe dọa có động cơ tài chính đứng sau bộ công cụ lừa đảo dưới dạng dịch vụ (Phaas) được sử dụng để đánh cắp hơn 5.000 thông tin đăng nhập Microsoft 365 từ 94 quốc gia kể từ tháng 7 năm 2024.

Steven Masada, trợ lý cố vấn pháp lý tại DCU, cho biết: "Sử dụng lệnh của tòa án do Quận phía Nam của New York cấp, DCU đã tịch thu 338 trang web liên quan đến dịch vụ phổ biến này, làm gián đoạn cơ sở hạ tầng kỹ thuật của hoạt động này và cắt đứt khả năng tiếp cận nạn nhân của bọn tội phạm".


"Vụ việc này cho thấy tội phạm mạng không cần phải tinh vi mới có thể gây ra tác hại rộng rãi – những công cụ đơn giản như RaccoonO365 khiến tội phạm mạng có thể tiếp cận hầu như bất kỳ ai, khiến hàng triệu người dùng gặp rủi ro."

Giai đoạn đầu tiên của quá trình gỡ bỏ Cloudflare bắt đầu vào ngày 2 tháng 9 năm 2025, với các hành động bổ sung diễn ra vào ngày 3 và 4 tháng 9. Các hành động này bao gồm cấm tất cả các tên miền đã được xác định, đặt các trang "cảnh báo lừa đảo" xen kẽ trước các tên miền này, chấm dứt các tập lệnh Workers liên quan và đình chỉ tài khoản người dùng. Các nỗ lực này đã hoàn tất vào ngày 8 tháng 9.

Được nhà sản xuất Windows theo dõi dưới tên Storm-2246, RaccoonO365 được tiếp thị cho các tội phạm mạng khác theo mô hình đăng ký, cho phép chúng thực hiện các cuộc tấn công lừa đảo và thu thập thông tin đăng nhập ở quy mô lớn mà không cần hoặc chỉ cần rất ít chuyên môn kỹ thuật. Gói 30 ngày có giá 355 đô la, và gói 90 ngày có giá 999 đô la.

Các nhà điều hành cũng tuyên bố rằng công cụ này được lưu trữ trên các máy chủ riêng ảo chống đạn không có cửa hậu ẩn (không giống như BulletProofLink ) và rằng nó "chỉ được xây dựng cho những người chơi nghiêm túc - không dành cho những kẻ ăn bám có ngân sách thấp".

Theo Morado, các chiến dịch sử dụng RaccoonO365 đã diễn ra từ tháng 9 năm 2024. Các cuộc tấn công này thường bắt chước các thương hiệu đáng tin cậy như Microsoft, DocuSign, SharePoint, Adobe và Maersk trong các email lừa đảo, lừa nạn nhân nhấp vào các trang web giả mạo được thiết kế để đánh cắp tên người dùng và mật khẩu Microsoft 365 của họ. Email lừa đảo thường là tiền thân của phần mềm độc hại và ransomware.

Theo quan điểm của người bảo vệ, khía cạnh đáng lo ngại nhất là việc sử dụng các công cụ hợp pháp như Cloudflare Turnstile làm CAPTCHA, cũng như triển khai phát hiện bot và tự động hóa bằng tập lệnh Cloudflare Workers để bảo vệ các trang lừa đảo của họ, do đó đảm bảo rằng chỉ những mục tiêu dự định của cuộc tấn công mới có thể truy cập và tương tác với chúng.


Đầu tháng 4, công ty có trụ sở tại Redmond đã cảnh báo về một số chiến dịch lừa đảo lợi dụng các chủ đề liên quan đến thuế để triển khai phần mềm độc hại như Latrodectus, AHKBot, GuLoader và BruteRatel C4 (BRc4). Công ty cho biết thêm, các trang lừa đảo này được phân phối qua RaccoonO365, với một chiến dịch như vậy được cho là do một nhà môi giới truy cập ban đầu có tên là Storm-0249 thực hiện.

Các chiến dịch lừa đảo đã nhắm mục tiêu vào hơn 2.300 tổ chức tại Hoa Kỳ, bao gồm ít nhất 20 tổ chức chăm sóc sức khỏe của Hoa Kỳ.

Microsoft cho biết: "Khi sử dụng dịch vụ của RaccoonO365, khách hàng có thể nhập tới 9.000 địa chỉ email mục tiêu mỗi ngày và sử dụng các kỹ thuật tinh vi để vượt qua các biện pháp bảo vệ xác thực đa yếu tố nhằm đánh cắp thông tin đăng nhập của người dùng và truy cập liên tục vào hệ thống của nạn nhân".

"Gần đây nhất, nhóm này đã bắt đầu quảng cáo một dịch vụ mới hỗ trợ AI, RaccoonO365 AI-MailCheck, được thiết kế để mở rộng quy mô hoạt động và tăng cường độ tinh vi – và hiệu quả – của các cuộc tấn công."

Kẻ chủ mưu đằng sau RaccoonO365 được xác định là Joshua Ogundipe, một cá nhân sống tại Nigeria. Cùng với các cộng sự, hắn đã quảng cáo công cụ này trên một kênh Telegram gồm 850 thành viên, nhận được không dưới 100.000 đô la tiền điện tử. Nhóm tội phạm mạng này được cho là đã bán được khoảng 100-200 gói đăng ký, mặc dù Microsoft cảnh báo rằng con số này có thể bị đánh giá thấp.

Gã khổng lồ công nghệ cho biết họ có thể xác định được danh tính nhờ một lỗ hổng bảo mật hoạt động đã vô tình làm lộ một ví tiền điện tử bí mật. Ogundipe và bốn đồng phạm khác hiện vẫn đang lẩn trốn, nhưng Microsoft lưu ý rằng lệnh truy nã hình sự đối với Ogundipe đã được gửi đến cơ quan thực thi pháp luật quốc tế.

Trong phân tích riêng về dịch vụ PhaaS, Cloudflare cho biết việc xóa hàng trăm tên miền và tài khoản Worker nhằm mục đích tăng chi phí hoạt động và gửi cảnh báo tới những kẻ tấn công độc hại khác có thể lợi dụng cơ sở hạ tầng của họ cho mục đích xấu.

Kể từ khi bị gián đoạn, nhóm tin tặc đã thông báo rằng chúng sẽ "xóa bỏ tất cả các liên kết RaccoonO365 cũ", đồng thời kêu gọi những khách hàng đã trả phí đăng ký 1 tháng chuyển sang gói mới. Nhóm này cũng cho biết sẽ đền bù cho những người bị ảnh hưởng bằng cách cung cấp "thêm một tuần đăng ký" sau khi nâng cấp.

Cloudflare cho biết: "Phản ứng này thể hiện sự thay đổi chiến lược từ việc tiêu diệt một tên miền đơn lẻ mang tính phản ứng sang việc chủ động phá vỡ quy mô lớn nhằm phá hủy cơ sở hạ tầng hoạt động của tác nhân trên nền tảng của chúng tôi".