VietNetwork.Vn

Các nhà nghiên cứu về an ninh mạng đã cảnh báo về sự gia tăng các trang lừa đảo được tạo bằng công cụ xây dựng trang web có tên là Webflow, vì những kẻ tấn công tiếp tục lợi dụng các dịch vụ hợp pháp như Cloudflare và Microsoft Sway để trục lợi.

"Các chiến dịch nhắm vào thông tin nhạy cảm từ nhiều ví tiền điện tử khác nhau, bao gồm Coinbase, MetaMask, Phantom, Trezor và Bitbuy, cũng như thông tin đăng nhập cho nhiều nền tảng webmail của công ty, cũng như thông tin đăng nhập Microsoft 365", nhà nghiên cứu Jan Michael Alcantara của Netskope Threat Labs cho biết trong một bài phân tích.


Công ty an ninh mạng cho biết họ đã theo dõi lưu lượng truy cập vào các trang lừa đảo được tạo bằng Webflow tăng gấp 10 lần trong khoảng thời gian từ tháng 4 đến tháng 9 năm 2024, với các cuộc tấn công nhắm vào hơn 120 tổ chức trên toàn thế giới. Phần lớn các mục tiêu nhắm đến nằm ở Bắc Mỹ và Châu Á, bao gồm các lĩnh vực dịch vụ tài chính, ngân hàng và công nghệ.

Những kẻ tấn công đã bị phát hiện sử dụng Webflow để tạo các trang lừa đảo độc lập cũng như chuyển hướng người dùng không nghi ngờ đến các trang lừa đảo khác do chúng kiểm soát.

Michael Alcantara cho biết: "Cách đầu tiên giúp kẻ tấn công dễ dàng và ẩn mình vì không cần phải viết và phát hiện dòng mã lừa đảo, trong khi cách thứ hai giúp kẻ tấn công linh hoạt hơn trong việc thực hiện các hành động phức tạp hơn khi cần thiết".

Điều khiến Webflow hấp dẫn hơn nhiều so với Cloudflare R2 hoặc Microsoft Sway là nó cho phép người dùng tạo các tên miền phụ tùy chỉnh mà không mất thêm chi phí, trái ngược với các tên miền phụ chữ số chữ cái ngẫu nhiên được tạo tự động dễ gây nghi ngờ -

• Cloudflare R2 - https://pub-<32_alphanumeric_string>.r2.dev/webpage.htm
• Microsoft Sway -   Đăng nhập để xem liên kết

Để tăng khả năng thành công của cuộc tấn công, các trang lừa đảo được thiết kế sao cho giống hệt trang đăng nhập của các trang web hợp pháp nhằm lừa người dùng cung cấp thông tin đăng nhập, sau đó thông tin này sẽ được chuyển đến một máy chủ khác trong một số trường hợp.

Netskope cho biết họ cũng xác định các trang web lừa đảo tiền điện tử Webflow sử dụng ảnh chụp màn hình trang chủ ví hợp pháp làm trang đích của chúng và chuyển hướng người truy cập đến trang web lừa đảo thực sự khi nhấp vào bất kỳ vị trí nào trên trang web giả mạo.


Mục tiêu cuối cùng của chiến dịch lừa đảo tiền điện tử là đánh cắp cụm từ hạt giống của nạn nhân, cho phép kẻ tấn công chiếm quyền kiểm soát ví tiền điện tử và rút tiền.

Trong các cuộc tấn công được công ty an ninh mạng xác định, người dùng cung cấp cụm từ khôi phục sẽ thấy thông báo lỗi nêu rằng tài khoản của họ đã bị đình chỉ do "hoạt động trái phép và lỗi nhận dạng". Thông báo này cũng nhắc người dùng liên hệ với nhóm hỗ trợ của họ bằng cách bắt đầu trò chuyện trực tuyến trên   Đăng nhập để xem liên kết.

Điều đáng chú ý là các dịch vụ trò chuyện như LiveChat,   Đăng nhập để xem liên kết và Smartsupp đã bị sử dụng sai mục đích trong chiến dịch lừa đảo tiền điện tử có tên CryptoCore của Avast.

Michael Alcantara cho biết: "Người dùng nên luôn truy cập vào các trang quan trọng, chẳng hạn như cổng thông tin ngân hàng hoặc thư web, bằng cách nhập URL trực tiếp vào trình duyệt web thay vì sử dụng công cụ tìm kiếm hoặc nhấp vào bất kỳ liên kết nào khác".

Sự việc này xảy ra khi tội phạm mạng đang quảng cáo các dịch vụ chống bot mới trên dark web, tuyên bố có thể vượt qua cảnh báo Duyệt web an toàn của Google trên trình duyệt web Chrome.

"Các dịch vụ chống bot, như Otus Anti-Bot, Remove Red và Limitless Anti-Bot, đã trở thành nền tảng của các hoạt động lừa đảo phức tạp", SlashNext cho biết trong một báo cáo gần đây. "Những dịch vụ này nhằm mục đích ngăn chặn các trình thu thập thông tin bảo mật xác định các trang lừa đảo và đưa chúng vào danh sách chặn".

"Bằng cách lọc các bot an ninh mạng và ngụy trang các trang lừa đảo khỏi máy quét, các công cụ này kéo dài tuổi thọ của các trang web độc hại, giúp tội phạm trốn tránh bị phát hiện lâu hơn."

Các chiến dịch thư rác và quảng cáo độc hại đang diễn ra cũng đã được phát hiện đang phát tán một loại phần mềm độc hại đang phát triển mạnh có tên là WARMCOOKIE (hay còn gọi là BadSpace), sau đó hoạt động như một kênh truyền bá các phần mềm độc hại như CSharp-Streamer-RAT và Cobalt Strike.

Cisco Talos cho biết: "WarmCookie cung cấp nhiều chức năng hữu ích cho kẻ tấn công, bao gồm triển khai tải trọng, thao tác tệp, thực thi lệnh, thu thập ảnh chụp màn hình và duy trì, khiến nó trở nên hấp dẫn khi sử dụng trên các hệ thống sau khi đã có quyền truy cập ban đầu để tạo điều kiện cho quyền truy cập lâu dài và liên tục trong môi trường mạng bị xâm phạm ".

Phân tích mã nguồn cho thấy phần mềm độc hại có khả năng được phát triển bởi cùng một tác nhân đe dọa như Resident, một phần mềm cấy ghép sau khi xâm nhập được triển khai như một phần của bộ xâm nhập có tên là TA866 (hay còn gọi là Asylum Ambuscade), cùng với kẻ đánh cắp thông tin Rhadamanthys. Các chiến dịch này đã nhắm vào lĩnh vực sản xuất, tiếp theo là chính phủ và các dịch vụ tài chính.

Talos cho biết: "Mặc dù việc nhắm mục tiêu dài hạn liên quan đến các chiến dịch phân phối có vẻ như không phân biệt đối xử, nhưng hầu hết các trường hợp phát hiện ra các tải trọng tiếp theo đều ở Hoa Kỳ, với các trường hợp bổ sung trải rộng khắp Canada, Vương quốc Anh, Đức, Ý, Áo và Hà Lan ".