Bài viết trình bày về các kỹ thuật mà tin tặc sử dụng để phân phát phần mềm độc hại lừa đảo, bao gồm việc sử dụng các trang xác minh CAPTCHA giả mạo và các ứng dụng đã bị trojan hóa. Dưới đây là những điểm chính:
Kỹ thuật ClickFix:
- Tin tặc đang tận dụng các trang xác minh CAPTCHA giả được gọi là ClickFix để phân phối phần mềm độc hại, bao gồm các phần mềm stealers thông tin và ransomware.
- Cuộc tấn công bắt đầu với một trang lừa đảo điều hướng nạn nhân đến một trang CAPTCHA giả, nơi họ được yêu cầu thực hiện các lệnh độc hại được ngụy trang dưới dạng các thông báo “xác minh bạn là người” thông thường.
- Điều này kích hoạt một tập lệnh PowerShell tải xuống và chạy các mã độc, như Qakbot, từ các miền do kẻ tấn công kiểm soát.
Ứng dụng Trojanized:
- Các mối đe dọa đang phân phối các ứng dụng trojan hóa ngụy trang dưới dạng phần mềm hợp pháp để có được quyền truy cập ban đầu. Ví dụ bao gồm các phiên bản giả mạo của QQ Talk, QQ Installer, WeChat, DingTalk, VooV Meeting, Google Meet, Microsoft Visual Studio 2022 và Palo Alto Global Protect.
- Các ứng dụng bị booby-trapped này kích hoạt một quy trình đa giai đoạn, hoạt động như một phương tiện giao hàng cho các mã độc ở giai đoạn tiếp theo, chẳng hạn như Kematian Stealer để tạo điều kiện cho việc đánh cắp cookie.
Dịch vụ PPI:
- EncryptHub, một tác nhân có động cơ tài chính, đang sử dụng các dịch vụ phân phối theo hình thức Pay-Per-Install (PPI) bên thứ ba như LabInstalls để hỗ trợ việc cài đặt phần mềm độc hại hàng loạt.
- Dịch vụ này cho phép khách hàng chi trả để cài đặt phần mềm độc hại bắt đầu từ 10 USD (100 lần cài đặt) đến 450 USD (10.000 lần cài đặt).
Kỹ thuật Kỹ nghệ xã hội:
- Các bộ công cụ lừa đảo thường sử dụng các kỹ thuật làm méo mó theo lớp, bao gồm các chuỗi hex mã hóa XOR và tạo URL động, để tránh bị phát hiện.
- Việc sử dụng các chiến thuật kỹ nghệ xã hội, như email lừa đảo thuyết phục và giả mạo URL, khiến cho các cuộc tấn công này trở nên hiệu quả cao.
Phishing-as-a-Service (PhaaS):
- Các nền tảng PhaaS xử lý tất cả các khía cạnh của trò lừa đảo, bao gồm việc lưu trữ trang web, các chiến dịch email được lập lịch tự động, danh sách mục tiêu đã được thu thập trước và hỗ trợ liên tục. Những nền tảng này thu phí đăng ký liên tục.
Thao túng DNS MX Records:
- Bộ công cụ lừa đảo Morphing Meerkat khai thác các bản ghi DNS MX để phục vụ các trang đăng nhập giả mạo, impersonate khoảng 114 thương hiệu. Kỹ thuật này giúp kẻ tấn công lừa nạn nhân nhập thông tin đăng nhập email của họ bằng cách hiển thị nội dung web liên quan chặt chẽ đến nhà cung cấp dịch vụ email của họ.
Các kỹ thuật này làm nổi bật bản chất đang tiến hóa của các cuộc tấn công lừa đảo, nhấn mạnh sự cần thiết phải giám sát liên tục và các biện pháp phòng ngừa chủ động để giảm thiểu những rủi ro này. Các tổ chức nên đào tạo người dùng nhận biết các thông báo xác minh đáng ngờ, chặn các miền độc hại đã biết và triển khai bảo vệ điểm cuối có khả năng phát hiện hoạt động PowerShell bất thường.
