Những tấn công mạng lừa đảo đã luôn là phương pháp phổ biến để tội phạm mạng đánh cắp dữ liệu cá nhân và doanh nghiệp. Tuy nhiên, một sự thay đổi thầm lặng đã diễn ra trong cách thức hoạt động của các cuộc tấn công này, khiến chúng trở nên tinh vi và nguy hiểm hơn.
Sự Chuyển Đổi Trong Chiến Thuật Tấn Công Mạng Hiện Đại
Thay vì lừa đảo người dùng nhập mật khẩu trên các trang web giả mạo, những kẻ tấn công hiện nay đang trực tiếp thả mã độc vào thiết bị nạn nhân.
Mục đích là để mã độc tự thực hiện hành vi đánh cắp dữ liệu, giảm sự tương tác trực tiếp với nạn nhân và tăng khả năng thành công của cuộc tấn công.
Từ Phishing Truyền Thống Đến Kẻ Cắp Thông Tin (Infostealers)
Sự chuyển đổi này đã dần hình thành và báo hiệu một giai đoạn nguy hiểm hơn trong quá trình phát triển của các chiêu trò lừa đảo trực tuyến.
Phishing truyền thống vẫn tồn tại và là một mối đe dọa nghiêm trọng. Tuy nhiên, ngày càng nhiều kẻ tấn công ưu tiên triển khai các loại mã độc đánh cắp thông tin, hay còn gọi là infostealers.
Những infostealers này được thiết kế để thu thập dữ liệu một cách lặng lẽ. Chúng có khả năng lấy cắp mật khẩu, cookie trình duyệt, token phiên làm việc, dữ liệu tự động điền đã lưu.
Bên cạnh đó, infostealers cũng nhắm mục tiêu vào chi tiết ví tiền điện tử và thậm chí các tệp được lưu trữ trên thiết bị của nạn nhân.
Cơ Chế Hoạt Động Đặc Thù Của Infostealers
Các nhà phân tích tại Malwarebytes đã nhận định rằng cách tiếp cận này hấp dẫn vì nó có tính mở rộng cao và giảm bớt ma sát cho kẻ tấn công.
Thay vì chờ nạn nhân truy cập một trang đăng nhập giả mạo và nhập thông tin xác thực, mã độc này chỉ đơn giản là thu thập bất kỳ dữ liệu nào đã được lưu trên máy bị nhiễm.
Điều này cũng khiến cuộc tấn công khó bị phát hiện hơn rất nhiều. Một nỗ lực phishing cổ điển thường để lại những dấu hiệu đáng ngờ dễ nhận biết.
Đó có thể là một liên kết lạ, địa chỉ người gửi đáng ngờ hoặc một trang đăng nhập được định dạng bất thường.
Ngược lại, infostealers hoạt động âm thầm trong nền sau khi cài đặt. Chúng ít để lại lý do để nạn nhân nghi ngờ bất cứ điều gì sai sót, dẫn đến việc rò rỉ dữ liệu nghiêm trọng.
Vượt Qua Xác Thực Đa Yếu Tố (MFA) Bằng Cookie Phiên
Một động lực quan trọng đằng sau sự thay đổi này là việc áp dụng rộng rãi xác thực đa yếu tố, hay MFA.
Vì MFA bổ sung một lớp xác minh đăng nhập, mật khẩu bị đánh cắp riêng lẻ không còn đủ cho nhiều trường hợp chiếm quyền tài khoản.
Bằng cách đánh cắp cookie phiên, kẻ tấn công có thể vượt qua MFA hoàn toàn và truy cập tài khoản mà không cần mật khẩu hoặc mã một lần.
Điều này tạo ra một lỗ hổng nghiêm trọng trong các hệ thống bảo mật hiện đại, khiến nhiều người dùng đối mặt với nguy cơ bị chiếm đoạt tài khoản dù đã kích hoạt MFA.
Kỹ thuật này cho phép duy trì quyền truy cập liên tục vào các dịch vụ trực tuyến, ngay cả khi mật khẩu đã được thay đổi sau khi hệ thống bị xâm nhập.
Thông tin thêm về các chiến thuật bypass MFA có thể được tìm thấy từ các nguồn đáng tin cậy: Phân tích MFA Bypass.
Hệ Sinh Thái Malware-as-a-Service (MaaS) và Vai Trò Của Infostealers
Một yếu tố lớn khác là sự bùng nổ của hệ sinh thái Malware-as-a-Service, thường được gọi là MaaS. Thị trường ngầm này cho phép tội phạm mua các bộ công cụ infostealer làm sẵn.
Các công cụ này bao gồm bộ nạp (loaders) và công cụ truy cập ban đầu (initial access tools) mà không cần phải tự xây dựng bất cứ thứ gì. Điều này giúp giảm đáng kể rào cản gia nhập.
Ngay cả những kẻ tấn công có kỹ năng thấp cũng có thể thực hiện các chiến dịch đánh cắp thông tin xác thực quy mô lớn.
Những dịch vụ này không chỉ rẻ mà còn được thiết kế để hoạt động nhanh chóng và linh hoạt. Các nhà điều hành có thể đẩy các bản cập nhật, xoay vòng hạ tầng.
Họ có thể nhanh chóng khởi động các chiến dịch mới, trong khi mạng lưới các đối tác liên kết xử lý việc phân phối thông qua email lừa đảo, tải xuống giả mạo, quảng cáo độc hại và bẫy mạng xã hội.
Sự phân chia lao động này làm cho các hoạt động trở nên cực kỳ hiệu quả và khó bị vô hiệu hóa. Infostealers hiếm khi đánh dấu sự kết thúc của một cuộc tấn công mạng.
Trong hầu hết các trường hợp, chúng chỉ là động thái mở đầu. Dữ liệu bị đánh cắp, bao gồm mật khẩu đã lưu, cookie phiên và thông tin xác thực truy cập của công ty, được đóng gói và bán cho các tội phạm khác.
Những tội phạm này chuyên về chiếm đoạt tài khoản, lừa đảo, xâm nhập email doanh nghiệp hoặc triển khai ransomware. Một thiết bị bị nhiễm duy nhất có thể tạo ra thu nhập từ nhiều loại người mua cùng một lúc.
Kênh Phân Phối và Phương Thức Lây Nhiễm Phổ Biến
Infostealers tiếp cận nạn nhân thông qua nhiều phương thức phân phối đa dạng. Các quảng cáo độc hại là một trong những điểm vào phổ biến nhất.
Các lời nhắc cập nhật trình duyệt giả mạo, phần mềm lậu, công cụ gian lận game, công cụ crack và tiện ích mở rộng trình duyệt đáng ngờ cũng là những kênh lây nhiễm hiệu quả.
Những kênh này hoạt động hiệu quả vì chúng tiếp cận những người không nhất thiết phải mong đợi một cuộc tấn công. Hơn nữa, họ có thể đã quen với việc nhấp qua các lời nhắc mà không suy nghĩ nhiều.
Cụ thể, các phương thức lây nhiễm bao gồm:
- Quảng cáo độc hại (Malvertising): Kẻ tấn công sử dụng các quảng cáo trực tuyến để phân phối mã độc.
- Lời nhắc cập nhật trình duyệt giả mạo: Lừa người dùng cài đặt phần mềm độc hại dưới dạng bản cập nhật thiết yếu.
- Phần mềm lậu và công cụ crack: Tích hợp infostealers vào các phần mềm vi phạm bản quyền hoặc công cụ crack.
- Công cụ gian lận game: Nhúng mã độc vào các phần mềm hỗ trợ gian lận trong trò chơi điện tử.
- Tiện ích mở rộng trình duyệt đáng ngờ: Cài đặt các tiện ích độc hại có khả năng thu thập thông tin người dùng.
Chiến Thuật ClickFix: Lừa Đảo Thực Thi Lệnh Tấn Công
Một chiến thuật có tên gọi ClickFix gần đây cũng đã trở nên phổ biến. Nó hoạt động bằng cách lừa người dùng tự chạy các lệnh hoặc script trên thiết bị của họ.
Thường thì chiến thuật này trình bày một thông báo lỗi giả mạo hoặc cảnh báo, hướng dẫn nạn nhân dán một chuỗi lệnh vào cửa sổ dòng lệnh (command prompt).
Các nhà nghiên cứu của Malwarebytes cảnh báo rằng người dùng không bao giờ nên thực thi bất kỳ lệnh nào được sao chép từ trang web, email hoặc tin nhắn.
Việc thực thi lệnh chỉ nên được thực hiện khi họ hiểu đầy đủ chức năng của lệnh và tin tưởng hoàn toàn vào nguồn gốc của nó. Đây là một điểm cực kỳ quan trọng để ngăn chặn xâm nhập mạng.
Phát Hiện và Phòng Ngừa Mối Đe Dọa Infostealers
Giữ an toàn đòi hỏi người dùng phải xây dựng những thói quen đơn giản, nhất quán.
Người dùng nên tránh nhấp vào các quảng cáo được tài trợ và điều hướng trực tiếp đến các trang web chính thức khi tải phần mềm để hạn chế rủi ro bảo mật.
Các Biện Pháp Bảo Vệ Hiệu Quả Trước Infostealers
Phần mềm lậu và phần mềm crack tiềm ẩn nguy cơ cao chứa mã độc đi kèm và nên tránh hoàn toàn. Thận trọng hơn trước khi nhấp vào bất kỳ liên kết nào hoặc mở bất kỳ tệp đính kèm nào trong email có thể tạo ra sự khác biệt lớn.
Đặc biệt là khi tin nhắn tạo ra cảm giác khẩn cấp liên quan đến hóa đơn, vấn đề tài khoản hoặc cảnh báo bảo mật.
- Tránh quảng cáo độc hại: Luôn truy cập trực tiếp các trang web chính thức để tải phần mềm, không thông qua quảng cáo.
- Không sử dụng phần mềm lậu: Phần mềm không có bản quyền thường là kênh chính để phân phối mã độc.
- Thận trọng với email và liên kết: Kiểm tra kỹ nguồn gốc và nội dung email, đặc biệt là những email tạo cảm giác cấp bách.
- Hiểu rõ các lệnh CLI: Không bao giờ chạy các lệnh được sao chép từ các nguồn không đáng tin cậy.
- Cập nhật hệ thống và phần mềm: Đảm bảo hệ điều hành và các ứng dụng luôn được vá lỗi bảo mật mới nhất.
Việc nhận thức về các phương thức tấn công mới và tuân thủ các thực hành bảo mật cơ bản là chìa khóa để bảo vệ bản thân và tổ chức khỏi mối đe dọa từ infostealers.
Nguồn tham khảo: Infostealers Are Becoming the Go-To Phishing Payload.
