Chiến Dịch Lừa Đảo: Mối Đe Dọa Tưởng Chừng Vô Hại

29/03/2025
2 mins read




Phishing Operation

Nội dung
Tổng Quan Về Chiến Dịch Lừa Đảo
Triển Khai Kỹ Thuật
Các Khả Năng Của Bộ Công Cụ Lừa Đảo
Kỹ Thuật Tránh Giám Sát
Diễn Viên Đe Dọa
Ảnh Hưởng Toàn Cầu

Tổng Quan Về Chiến Dịch Lừa Đảo

  • Lừa Đảo Tinh Vi: Chiến dịch này liên quan đến một kỹ thuật lừa đảo tinh vi sử dụng bản ghi MX DNS để phục vụ các trang đăng nhập giả được tùy chỉnh cho nhà cung cấp email của nạn nhân.
  • Giả Mạo Thương Hiệu: Bộ công cụ lừa đảo có thể bắt chước hơn 100 thương hiệu, tạo ra những sự giả mạo rất thuyết phục mà người dùng khó phân biệt với các trang đăng nhập hợp pháp.
  • Email Rác: Mối đe dọa bắt đầu bằng các email rác chứa liên kết độc hại mà hướng nạn nhân qua một chuỗi bước đến trang đích lừa đảo. Những email này thường sử dụng thông điệp khẩn cấp về việc vô hiệu hóa tài khoản hoặc việc giao tài liệu để thúc ép người dùng nhấp vào các liên kết nhúng.

Triển Khai Kỹ Thuật

  • Tra Cứu Bản Ghi MX DNS: Bộ công cụ lừa đảo thực hiện tra cứu bản ghi MX DNS sử dụng dịch vụ DNS qua HTTPS (DoH) từ Google hoặc Cloudflare. Điều này cho phép nó xác định chính xác nhà cung cấp dịch vụ email của nạn nhân mà không cần duy trì một cơ sở dữ liệu ánh xạ miền lớn.
  • Chức Năng JavaScript: Việc triển khai kỹ thuật phụ thuộc vào các chức năng JavaScript truy vấn các dịch vụ DNS công cộng.

Các Khả Năng Của Bộ Công Cụ Lừa Đảo

  • Mẫu Tùy Chỉnh Động: Bộ công cụ lừa đảo phục vụ một trong 114 mẫu lừa đảo cụ thể cho thương hiệu dựa trên miền email của nạn nhân, tự động điền vào trường tên người dùng bằng địa chỉ email của nạn nhân.
  • Chiếm Đoạt Dữ Liệu: Nếu nạn nhân gửi thông tin đăng nhập của họ, dữ liệu sẽ được lấy ra bởi kẻ tấn công thông qua email, các kịch bản PHP, yêu cầu AJAX, hoặc các nền tảng nhắn tin như Telegram.

Kỹ Thuật Tránh Giám Sát

  • Che Khuất Mã: Bộ công cụ sử dụng nhiều kỹ thuật bảo mật để né tránh việc phát hiện, bao gồm che khuất mã, giám sát bàn phím để ngăn chặn kiểm tra và chuyển hướng thông minh đến các trang web hợp pháp sau khi ăn cắp thông tin đăng nhập.
  • Biện Pháp Chống Phân Tích: Các trang đích lừa đảo có các biện pháp chống phân tích cho phép người dùng không thể sử dụng chuột bên phải hoặc các tổ hợp phím như Ctrl + S và Ctrl + U.

Diễn Viên Đe Dọa

  • Morphing Meerkat: Nhóm đe dọa đứng sau chiến dịch này được xác định là “Morphing Meerkat”. Nhóm này vận hành một nền tảng PhaaS tinh vi và đã được quan sát sử dụng các chiến thuật, kỹ thuật, và quy trình nhất quán trên nhiều chiến dịch từ tháng 1 năm 2020.

Ảnh Hưởng Toàn Cầu

  • Ảnh Hưởng Toàn Cầu: Morphing Meerkat đã được báo cáo gửi hàng ngàn email rác sử dụng các trang WordPress bị hack và các lỗ hổng trong các mạng quảng cáo. Các trang lừa đảo được thiết kế để tự động chuyển đổi giữa hơn một tá ngôn ngữ để đánh lừa người dùng trên toàn cầu.