Các tác nhân đe dọa đã gia tăng đáng kể các hoạt động khai thác trong lĩnh vực an ninh mạng, đánh dấu một sự phát triển đáng lo ngại. Đặc biệt, TLD (Top-Level Domain) mã quốc gia của Tây Ban Nha, .ES, đang được sử dụng rộng rãi để lên kế hoạch cho các cuộc tấn công phishing thông tin đăng nhập.
Sự Gia Tăng Đột Biến trong Lạm Dụng TLD .ES
Theo những phát hiện gần đây từ Cofense Intelligence, việc lạm dụng các tên miền .ES TLD đã tăng vọt một cách đáng kinh ngạc, đạt mức 19 lần từ Quý 4 năm 2024 đến Quý 1 năm 2025. Sự gia tăng này đã đẩy .ES trở thành TLD bị lạm dụng nhiều thứ ba cho các hoạt động độc hại trong khoảng thời gian từ tháng 1 đến tháng 5 năm 2025.
Thống Kê và Mức Độ Phổ Biến
Sự gia tăng mạnh mẽ này đã làm thay đổi bảng xếp hạng top 10 TLD bị lạm dụng phổ biến khác. Hiện tại, các tên miền .ES xuất hiện thường xuyên gấp đôi so với .DEV trong các chiến dịch độc hại. Điều này cho thấy một sự thay đổi đáng kể trong chiến lược của các tác nhân đe dọa, ưu tiên các tên miền .ES như một véc-tơ tấn công hiệu quả.
Các Véc-tơ Tấn Công Chính
Xu hướng này chủ yếu thể hiện ở hai dạng URL:
- URL giai đoạn đầu (first-stage URLs): Được nhúng trực tiếp trong email phishing hoặc tệp đính kèm.
- URL giai đoạn hai (second-stage URLs): Lưu trữ các trang phishing hoặc tạo điều kiện cho việc đánh cắp dữ liệu (data exfiltration).
Trong đó, các URL giai đoạn hai cho thấy mức độ gia tăng đáng kể nhất, phản ánh sự tập trung vào việc tạo ra các điểm cuối độc hại để thu thập thông tin nhạy cảm từ nạn nhân.
Kỹ Thuật Lạm Dụng Tên Miền Phụ (Subdomain) và Mục Tiêu Tấn Công
Đi sâu hơn vào các chi tiết kỹ thuật, sự gia tăng lạm dụng .ES TLD phần lớn được quy cho việc sử dụng chiến lược các tên miền phụ (subdomain). Những tên miền phụ này thường xuất hiện dưới dạng các chuỗi được tạo ra gần như tự động (pseudo-dynamically generated strings) thay vì các tên được tạo thủ công, gây khó khăn cho việc phát hiện dựa trên mẫu tên truyền thống.
Chiến Thuật Sử Dụng Subdomain
Trong số 1.373 tên miền phụ được Cofense phân tích trên 447 tên miền gốc .ES từ tháng 1 đến tháng 5 năm 2025, hơn 99% được liên kết với các cuộc tấn công phishing thông tin đăng nhập. Điều này cho thấy mục đích chính của việc lạm dụng các tên miền phụ này là thu thập thông tin nhạy cảm từ người dùng.
Thương Hiệu Bị Mạo Danh Phổ Biến
Các chiến dịch phishing này chủ yếu mạo danh Microsoft, chiếm 95% các thương hiệu bị giả mạo. Tỷ lệ này cao hơn 10% so với các chiến dịch sử dụng các TLD khác, nhấn mạnh sự tập trung cao độ vào hệ sinh thái người dùng Microsoft. Các thương hiệu khác như Adobe và Google cũng xuất hiện nhưng với tỷ lệ nhỏ hơn. Điều này cho thấy việc lạm dụng .ES TLD không phải là công việc của một nhóm tác nhân đe dọa duy nhất với các ưu tiên cụ thể, mà là một chiến thuật phổ biến được áp dụng rộng rãi trong các cộng đồng tội phạm mạng đa dạng.
Mức Độ Tinh Vi của Trang Phishing và Cơ Sở Hạ Tầng Hỗ Trợ
Các trang phishing được lưu trữ trên các tên miền phụ này thường rất tinh vi, được thiết kế kỹ lưỡng với nội dung đầy đủ tính năng. Một điểm đáng chú ý là chúng thường được bảo vệ bằng các mã CAPTCHA của Cloudflare Turnstile, nhằm cản trở các công cụ tự động và tăng độ tin cậy cho trang web độc hại.
Đặc Điểm của Trang Phishing
Sự tinh vi của các trang phishing này thể hiện ở việc chúng sao chép gần như hoàn hảo giao diện và trải nghiệm người dùng của các trang đăng nhập hợp pháp. Việc sử dụng CAPTCHA cũng giúp giảm thiểu khả năng bị phát hiện bởi các bot tự động hoặc các công cụ quét bảo mật, khiến người dùng khó phân biệt được giữa trang hợp pháp và trang độc hại.
Vai Trò của Cloudflare trong Hoạt Động Lạm Dụng
Đáng chú ý, khoảng 99% các tên miền .ES độc hại này được lưu trữ trên cơ sở hạ tầng của Cloudflare. Điều này đặt ra những câu hỏi về tính dễ dàng trong việc triển khai các trang độc hại trên nền tảng này và phản ứng của Cloudflare đối với các khiếu nại lạm dụng. Việc phụ thuộc vào một nhà cung cấp dịch vụ lớn như Cloudflare cho thấy các tác nhân đe dọa đang tận dụng các dịch vụ hợp pháp để che giấu hoạt động của mình.
Sự Chuyển Dịch Trong Hình Thức Tấn Công
Trong lịch sử, việc lạm dụng .ES TLD thường liên quan nhiều hơn đến các hoạt động Command and Control (C2) của mã độc (malware). Các họ mã độc như FormBook đã từng tận dụng tên miền này để hòa trộn lưu lượng truy cập độc hại với các trang web hợp pháp, giúp chúng tránh bị phát hiện.
Từ Hoạt Động C2 Sang Phishing
Tuy nhiên, năm 2025 đánh dấu một sự thay đổi lớn, tập trung vào phishing thông tin đăng nhập. Các tên miền phụ đã trở thành véc-tơ ưa thích để lưu trữ nội dung lừa đảo. Sự thay đổi này cho thấy một sự thích nghi trong chiến thuật của các tác nhân đe dọa, chuyển từ việc kiểm soát mã độc sang việc trực tiếp thu thập thông tin nhạy cảm của người dùng.
Kỹ Thuật Né Tránh Phát Hiện
Không giống như các mẫu hình trước đây, nơi các tên miền gốc (base domains) được sử dụng trực tiếp, làn sóng tấn công hiện tại sử dụng các tên miền gốc không thể truy cập (unreachable base domains) kết hợp với các chuỗi tên miền phụ dường như ngẫu nhiên. Ví dụ điển hình là “ag7sr.fjlabpkgcuo.es”. Kỹ thuật này được thiết kế để né tránh phát hiện, đồng thời duy trì một vẻ ngoài hợp pháp, khiến việc phân tích và chặn trở nên khó khăn hơn.
Các Chiến Dịch Tấn Công và Kỹ Thuật Social Engineering
Các chiến dịch được quan sát vào tháng 3 năm 2025 cho thấy các chủ đề đa dạng nhưng nhất quán trong việc nhắm mục tiêu vào người dùng Microsoft bằng các trang phishing rất thuyết phục. Những trang này thường được nhúng trong các email có chủ đề như “Vendor Update, Action Required” hoặc “Confirm receipt: Voicemail from EXT 0972”.
Điều này cho thấy mức độ tinh vi cao trong kỹ thuật social engineering, được thiết kế để tối đa hóa sự tương tác của nạn nhân. Bằng cách sử dụng các chủ đề khẩn cấp hoặc quen thuộc, các tác nhân đe dọa cố gắng khai thác tâm lý người dùng để họ nhấp vào liên kết độc hại và cung cấp thông tin đăng nhập.
Chỉ Số Thỏa Hiệp (IOCs) và Mẫu Tấn Công
Các chỉ số thỏa hiệp (IOCs) và mẫu tấn công liên quan đến việc lạm dụng TLD .ES cho các cuộc tấn công phishing thông tin đăng nhập bao gồm:
- TLD mục tiêu:
.ES - Mẫu tên miền phụ: Thường là các chuỗi ký tự ngẫu nhiên hoặc có vẻ ngẫu nhiên, được tạo tự động (pseudo-dynamically generated).
- Ví dụ về tên miền phụ độc hại:
ag7sr.fjlabpkgcuo.es - Thương hiệu bị mạo danh chính: Microsoft (chiếm ưu thế), theo sau là Adobe và Google.
- Cơ sở hạ tầng lưu trữ phổ biến: Cloudflare (khoảng 99% tên miền .ES độc hại).
- Chủ đề email phishing phổ biến:
Vendor Update, Action RequiredConfirm receipt: Voicemail from EXT 0972
- Đặc điểm trang phishing: Tinh vi, thiết kế tốt, nội dung đầy đủ tính năng, thường có Cloudflare Turnstile CAPTCHA.
Chiến Lược Phòng Chống và Giảm Thiểu
Khi .ES tiếp tục gia tăng trong bối cảnh mối đe dọa, thiếu lịch sử tên miền hợp pháp rộng lớn như các TLD .COM do các hạn chế đăng ký trước đây, các chuyên gia an ninh mạng phải thích nghi các cơ chế phát hiện. Điều này bao gồm:
- Giám sát hoạt động tên miền phụ: Tăng cường giám sát và phân tích các mẫu tên miền phụ, đặc biệt là các chuỗi ngẫu nhiên hoặc không điển hình.
- Phòng thủ chống lại cơ sở hạ tầng phishing: Củng cố các biện pháp phòng thủ chống lại các trang phishing được lưu trữ trên cơ sở hạ tầng như Cloudflare, bao gồm việc sử dụng các danh sách đen cập nhật và các công cụ phát hiện dựa trên hành vi.
- Đào tạo nhận thức về an ninh: Liên tục giáo dục người dùng về các dấu hiệu của email phishing và các trang web lừa đảo, đặc biệt là những email có chủ đề khẩn cấp hoặc yêu cầu thông tin đăng nhập.
Việc hiểu rõ các chiến thuật mới này là rất quan trọng để phát triển các giải pháp bảo mật hiệu quả, nhằm bảo vệ người dùng và tổ chức khỏi các cuộc tấn công phishing ngày càng tinh vi.
