Một nền tảng Phishing-as-a-Service (PhaaS) tinh vi có tên SniperDz đang âm thầm hỗ trợ nhiều hình thức gian lận trực tuyến, vượt xa việc đánh cắp thông tin đăng nhập thông thường. Nền tảng này cung cấp cho tội phạm mạng một bộ công cụ sẵn sàng để triển khai các chiến dịch lừa đảo thuyết phục trên quy mô lớn, nhắm vào các nạn nhân tại Trung Đông và Bắc Phi thông qua các nền tảng mạng xã hội như Facebook và Instagram. SniperDz cho phép các nhà điều hành ít kinh nghiệm kỹ thuật nhất cũng có thể khởi chạy các chiến dịch tấn công mạng hiệu quả.
Tổng quan về Nền tảng SniperDz
Theo báo cáo từ Group-IB, SniperDz là một hệ sinh thái Phishing-as-a-Service (PhaaS) và Push-Notification-as-a-Service (PNaaS) tập trung, hoạt động dưới dạng turnkey. Bằng cách vượt qua nhiều lớp che giấu lưu lượng truy cập, các nhà nghiên cứu đã xác định được vai trò của SniperDz trong việc tạo điều kiện cho các hoạt động gian lận trực tuyến đa dạng.
Thư viện Mẫu Lừa đảo
Nền tảng này lưu trữ hơn 50 mẫu lừa đảo sẵn sàng sử dụng, giả mạo hơn 70 thương hiệu nổi tiếng toàn cầu. Điều này cho phép tội phạm mạng dễ dàng thiết kế các chiến dịch giả mạo thuyết phục mà không yêu cầu kiến thức kỹ thuật chuyên sâu.
Mục tiêu nhắm đến
Danh mục của SniperDz nhắm đến các lĩnh vực có giá trị cao, cung cấp các trang web giả mạo các dịch vụ tài chính như PayPal, các nền tảng mạng xã hội, dịch vụ phát trực tuyến và các sàn giao dịch trò chơi. Điều này mở rộng phạm vi tấn công mạng của nền tảng.
Phương thức Hoạt động Tinh vi
SniperDz sử dụng các kỹ thuật che giấu (cloaking) để hiển thị các trang lỗi vô hại khi phát hiện các nhà nghiên cứu bảo mật hoặc công cụ quét tự động. Khả năng né tránh này cho phép hệ sinh thái hoạt động trong nhiều chiến dịch khác nhau trong một thời gian dài, gây khó khăn cho việc nhận diện và triệt phá hạ tầng độc hại.
Chuỗi Chuyển hướng Đa tầng
Các cuộc tấn công thường bắt đầu bằng một chiêu trò kỹ thuật xã hội cục bộ thông qua các bài đăng giả mạo trên mạng xã hội. Kẻ lừa đảo giả mạo các nhà cung cấp viễn thông nổi tiếng, quảng bá các ưu đãi giả như miễn phí dữ liệu di động hoặc các lợi ích dành riêng cho thuê bao.
Nạn nhân ban đầu được chuyển hướng qua các nền tảng tổng hợp liên kết đáng tin cậy như Linkbio và Linktree. Tại đây, kẻ tấn công tạo ra các trang đích giả mạo, thoạt nhìn có vẻ hoàn toàn hợp pháp. Một ví dụ là fanlnk.to, một tên miền liên kết với Linkbio, đóng vai trò là lớp trung gian giữa bài đăng mạng xã hội và điểm đến lừa đảo cuối cùng.
Cách tiếp cận này khai thác uy tín của các dịch vụ đáng tin cậy, khiến các giai đoạn đầu của cuộc tấn công trông bình thường đối với cả nạn nhân và hệ thống phát hiện. Sau khi vượt qua lớp tổng hợp liên kết, nạn nhân sẽ đến hạ tầng do kẻ tấn công kiểm soát, nơi áp dụng các cơ chế theo dõi, chuyển hướng và kiếm tiền.
Khai thác Quyền Thông báo Trình duyệt
Giai đoạn cuối của chuỗi lừa đảo chuyển hướng nạn nhân đến một trang được thiết kế để thu thập quyền thông báo trình duyệt. Trang này hiển thị một giao diện tối giản với vòng quay tải và lời nhắc người dùng nhấp vào “Cho phép” để tiếp tục, tạo ấn tượng về một bước xác minh hợp pháp đang diễn ra.
Nạn nhân cấp quyền trình duyệt mà không nhận ra mình đã đồng ý với điều gì. Ở hậu trường, trang này sử dụng khóa VAPID (Voluntary Application Server Identification) công khai được chia sẻ để đăng ký các lượt đăng ký thông báo trình duyệt. Token kết quả cùng với siêu dữ liệu như cài đặt ngôn ngữ được gửi trở lại máy chủ của kẻ điều hành. Điều này tạo ra một mối đe dọa mạng tiềm ẩn từ các thông báo không mong muốn.
Các Kỹ thuật Gây Khó Chịu và Giữ Chân Nạn nhân
Trang lừa đảo còn chèn mã thao túng lịch sử trình duyệt, thêm 10 mục giả vào lịch sử điều hướng của nạn nhân, tạo ra thứ mà các nhà nghiên cứu gọi là “nhà tù nút quay lại” (back-button prison), ngăn chặn việc thoát ra dễ dàng. Kỹ thuật tab-under đồng thời chuyển hướng tab gốc đến một đích đến do kẻ tấn công kiểm soát nếu nạn nhân mở một tab trình duyệt mới.
Một khi đã đăng ký, nạn nhân nhận được các quảng cáo không mong muốn, chương trình khuyến mãi lừa đảo và nội dung độc hại trực tiếp qua trình duyệt của họ, ngay cả sau khi trang gốc đã đóng. Điều này cho thấy một hình thức xâm nhập mạng liên tục thông qua các thông báo trình duyệt.
Chỉ số Dấu hiệu Tấn công (IoCs)
Các nhà nghiên cứu đã xác định được một số chỉ số quan trọng cho thấy sự liên kết của các chiến dịch này với một nền tảng duy nhất.
- Khóa VAPID Công khai chung: Một khóa VAPID công khai lặp lại được chia sẻ trên tất cả các mẫu được kiểm tra, cung cấp một dấu hiệu nhận dạng hạ tầng quan trọng, liên kết các chiến dịch riêng biệt với một nền tảng kiếm tiền dùng chung.
- Địa chỉ IP hạ tầng: Ba địa chỉ IP, tất cả đều do Horizon IS lưu trữ, đã xác nhận thêm bản chất kết nối của hoạt động và hỗ trợ việc quy kết cho một hệ sinh thái thống nhất duy nhất.
Lưu ý: Địa chỉ IP và tên miền được làm mờ (ví dụ: [.]). Chỉ làm rõ lại trong các nền tảng tình báo mối đe dọa được kiểm soát như MISP, VirusTotal hoặc SIEM của bạn.
Biện pháp Phòng ngừa và Ứng phó
Người dùng nghi ngờ bị ảnh hưởng nên xem xét và thu hồi các quyền thông báo trình duyệt thông qua cài đặt trang web của trình duyệt ngay lập tức. Các chuỗi chuyển hướng liên quan đến dịch vụ tổng hợp liên kết và các tên miền không liên quan nên được coi là đáng ngờ. Bất kỳ khoản phí đăng ký SMS cao cấp không giải thích được nào nên được báo cáo cho nhà mạng di động ngay lập tức để ngăn chặn các rủi ro bảo mật.
Việc theo dõi các tin tức bảo mật mới nhất và hiểu rõ các kỹ thuật lừa đảo đang phát triển là rất quan trọng để duy trì an toàn thông tin trong bối cảnh các mối đe dọa mạng ngày càng gia tăng.
Để biết thêm thông tin chi tiết về các chiến dịch sử dụng nền tảng SniperDz và các kỹ thuật liên quan, bạn có thể tham khảo báo cáo gốc tại: Group-IB Blog.
