Tổng Quan Chiến Dịch Quishing “Scanception”
Các nhà nghiên cứu tại Cyble Research and Intelligence Labs (CRIL) đã phát hiện một chiến dịch tấn công lừa đảo đang diễn ra có tên là “Scanception”. Chiến dịch này đặc biệt ở chỗ sử dụng cơ chế phát tán dựa trên mã QR code để phân phối các URL thu thập thông tin đăng nhập (credential-harvesting URLs). Đây là một biến thể của tấn công phishing, được gọi là “quishing” (QR code phishing), tận dụng sự tin cậy vào mã QR để lừa người dùng.
Chiến dịch Scanception là một hoạt động lừa đảo tinh vi, bắt đầu bằng các email được nhắm mục tiêu, chứa các tài liệu PDF giả mạo các thông báo hợp pháp từ các doanh nghiệp. Các tài liệu PDF này lôi kéo người nhận quét các mã QR được nhúng bên trong.
Vector Tấn Công và Khai Thác
Một trong những đặc điểm nổi bật của Scanception là khả năng né tránh các biện pháp phòng thủ truyền thống. Bằng cách chuyển đổi bề mặt tấn công sang các thiết bị di động cá nhân không được quản lý, chiến dịch này có thể vượt qua hiệu quả các cổng email (email gateways), hệ thống phát hiện và phản hồi điểm cuối (EDR – Endpoint Detection and Response), cùng các lớp phòng thủ chu vi khác của tổ chức.
Trong ba tháng qua, CRIL đã xác định được hơn 600 tài liệu PDF phishing độc đáo và các email liên quan. Đáng báo động là gần 80% trong số này đã thoát khỏi sự phát hiện của VirusTotal tại thời điểm phân tích, cho thấy mức độ tinh vi trong kỹ thuật né tránh của chúng.
Kỹ Thuật Kỹ Sư Xã Hội
Các tài liệu lừa đảo được thiết kế rất tinh xảo, sử dụng các chiến thuật kỹ sư xã hội để xây dựng lòng tin và tăng tỷ lệ tương tác của người dùng. Chúng sao chép một cách chân thực các quy trình công việc nội bộ như:
- Quy trình nhân sự (HR workflows)
- Quy trình phê duyệt tài chính (financial approvals)
- Các quy trình kinh doanh phổ biến khác
Điều này tạo ra một vỏ bọc đáng tin cậy, khiến nạn nhân ít nghi ngờ hơn về tính hợp pháp của yêu cầu.
Phạm Vi Mục Tiêu và Phân Bố
Chiến dịch này thực hiện nhắm mục tiêu chính xác trên nhiều lĩnh vực, bao gồm:
- Công nghệ
- Chăm sóc sức khỏe
- Sản xuất
- Ngân hàng, dịch vụ tài chính và bảo hiểm (BFSI)
Phạm vi hoạt động của Scanception có tính toàn cầu, trải rộng khắp các khu vực như Bắc Mỹ, Châu Âu, Trung Đông và Châu Phi (EMEA), và Châu Á – Thái Bình Dương (APAC). Điều này cho thấy quy mô và khả năng thích ứng rộng lớn của chiến dịch.
Các Kỹ Thuật Né Tránh Nâng Cao
Sự phát triển của chiến dịch bao gồm việc sử dụng các tài liệu PDF đa trang. Thiết kế này được triển khai nhằm mục đích né tránh các công cụ phân tích tĩnh (static analysis engines) thường chỉ quét các trang ban đầu của tài liệu. Điều này làm phức tạp thêm khả năng phát hiện của các công cụ chống virus và sandboxing, khiến chúng khó nhận diện được nội dung độc hại.
cốt lõi của sự tinh vi về mặt kỹ thuật của Scanception là việc lạm dụng các dịch vụ đáng tin cậy và các bộ chuyển hướng mở (open redirectors) để che giấu cơ sở hạ tầng độc hại. Những kẻ tấn công tận dụng các nền tảng phổ biến và đáng tin cậy như YouTube, Google, Bing, Cisco và Medium để chuyển hướng nạn nhân thông qua các URL dường như hợp pháp. Việc khai thác sự tin tưởng ngầm vào các miền này giúp chúng vượt qua các bộ lọc dựa trên danh tiếng và các proxy web.
Ví dụ, các bộ chuyển hướng được mã hóa sẽ nối thêm các tham số cụ thể của nạn nhân, chẳng hạn như địa chỉ email được mã hóa Base64, để cá nhân hóa và theo dõi các nỗ lực lừa đảo. Điều này không chỉ giúp quản lý chiến dịch hiệu quả hơn mà còn làm cho các cuộc tấn công trở nên khó bị phát hiện hơn bởi các hệ thống bảo mật tổng quát.
Trang Phishing Adversary-in-the-Middle (AITM)
Khi người dùng quét mã QR, họ sẽ được chuyển hướng đến các trang phishing Adversary-in-the-Middle (AITM). Các trang này giả mạo các dịch vụ hợp pháp như Microsoft Office 365 và được trang bị các cơ chế né tránh tinh vi để phát hiện các công cụ tự động hóa, bao gồm Selenium, PhantomJS hoặc Burp Suite.
Các cơ chế né tránh trên trang AITM bao gồm:
- Vô hiệu hóa chức năng nhấp chuột phải (right-click functionality) để ngăn chặn việc kiểm tra mã nguồn hoặc lưu trang.
- Theo dõi việc gỡ lỗi (debugging) mỗi 100 mili giây để phát hiện các nhà phân tích bảo mật.
- Khi phát hiện bất kỳ công cụ hoặc hành vi đáng ngờ nào, các trang này sẽ ngay lập tức chuyển hướng người dùng đến các trang web lành tính. Điều này không chỉ cản trở quá trình phân tích pháp y (forensic analysis) mà còn giúp chiến dịch duy trì hoạt động mà không bị phát hiện trong thời gian dài hơn.
Quá Trình Thu Thập Thông Tin Đăng Nhập và Khai Thác Sau đó
Quá trình thu thập thông tin đăng nhập của Scanception diễn ra theo nhiều giai đoạn, cho thấy mức độ phức tạp cao của chiến dịch:
- Lấy dấu vân tay trình duyệt (Browser Fingerprinting): Trang phishing thực hiện lấy dấu vân tay trình duyệt để thu thập siêu dữ liệu thiết bị của nạn nhân. Điều này có thể bao gồm thông tin về hệ điều hành, trình duyệt, plugin, độ phân giải màn hình, và các cấu hình khác, giúp kẻ tấn công xác định và theo dõi nạn nhân.
- Rút trích thông tin đăng nhập theo thời gian thực: Sau khi thu thập được thông tin đăng nhập, chúng sẽ được rút trích ngay lập tức thông qua các yêu cầu POST tới các điểm cuối (endpoints) được tạo ngẫu nhiên. Các điểm cuối này được tạo ra bằng cách sử dụng các thư viện như randexp.js, gây khó khăn cho việc theo dõi và chặn bởi các hệ thống an ninh dựa trên chữ ký.
Cơ chế này duy trì một kênh liên lạc mở với các máy chủ do kẻ tấn công kiểm soát, cho phép chuyển tiếp các thử thách xác thực đa yếu tố (MFA – Multi-Factor Authentication) theo thời gian thực. Điều này bao gồm việc chuyển tiếp các mã OTP (One-Time Password) hoặc mã xác minh qua email, từ đó tạo điều kiện cho việc chiếm quyền phiên (session hijacking) và chiếm đoạt tài khoản (account takeover).
Sau khi hoàn tất quá trình khai thác, nạn nhân sẽ được chuyển hướng đến các trang web hợp pháp để giảm thiểu sự nghi ngờ. Kỹ thuật này cho phép chiến dịch tồn tại mà không bị phát hiện trong một khoảng thời gian dài, tối đa hóa số lượng nạn nhân thành công.
Phạm Vi Hoạt Động và Tác Động
Phạm vi hoạt động của Scanception cho thấy một bối cảnh mối đe dọa được tùy chỉnh và có khối lượng lớn, với những điểm tương đồng với các chiến thuật đã được ghi nhận trong nghiên cứu trước đây về lừa đảo bằng mã QR và các nền tảng Phishing-as-a-Service (PhaaS). Chiến dịch này đang hoạt động tích cực tại hơn 50 quốc gia và tác động đến hơn 70 lĩnh vực khác nhau.
Điều này cho thấy khả năng thích ứng cao của các chiến thuật, kỹ thuật và quy trình (TTPs – Tactics, Techniques, and Procedures) của Scanception, bao gồm các biến thể lừa đảo từ các tài liệu giả mạo một trang đến nhiều trang.
Sự hội tụ của kỹ thuật kỹ sư xã hội, lạm dụng cơ sở hạ tầng, và các kỹ thuật AITM cho thấy một sự thay đổi đáng kể trong bối cảnh đe dọa mạng. Thay vì chỉ nhắm vào các lỗ hổng kỹ thuật, các tác nhân đe dọa đang ngày càng khai thác sự thiếu cảnh giác của con người và các điểm cuối di động nằm ngoài tầm kiểm soát của tổ chức.
Chiến Lược Giảm Thiểu Rủi Ro
Trong bối cảnh chiến dịch Scanception vẫn đang hoạt động và không ngừng phát triển, các đội ngũ an ninh được khuyến nghị tăng cường các biện pháp phòng thủ sau để giảm thiểu rủi ro đánh cắp thông tin đăng nhập:
- Nâng cao nhận thức người dùng: Thường xuyên đào tạo và nâng cao nhận thức về các mối đe dọa lừa đảo mới, đặc biệt là các cuộc tấn công quishing và các dấu hiệu nhận biết của chúng. Người dùng cần được hướng dẫn về việc kiểm tra kỹ lưỡng các mã QR và URL trước khi tương tác.
- Triển khai quản lý thiết bị di động (MDM): Áp dụng các giải pháp MDM cho các thiết bị cá nhân được sử dụng cho mục đích công việc. MDM giúp thực thi các chính sách bảo mật, quản lý ứng dụng và giám sát hoạt động trên thiết bị di động, ngay cả khi chúng nằm ngoài mạng lưới doanh nghiệp.
- Giám sát chuyển hướng bất thường: Theo dõi chặt chẽ các luồng truy cập và các chuyển hướng bất thường từ các miền đáng tin cậy. Việc này có thể giúp phát hiện sớm các hành vi lạm dụng các dịch vụ hợp pháp để che giấu các trang phishing.
