Cyble Research and Intelligence Labs (**CRIL**) gần đây đã phát hiện một chiến dịch phishing rất tinh vi sử dụng bộ công cụ phishing **LogoKit**, được phát hiện lần đầu vào năm 2021. Chiến dịch này mạo danh các tổ chức đáng tin cậy như Đội Ứng cứu Khẩn cấp Máy tính của Hungary (**HunCERT**).
Phạm vi và Mục tiêu Tấn công
Chiến dịch đang diễn ra này nhắm mục tiêu vào nhiều lĩnh vực đa dạng, bao gồm ngân hàng và logistics, với phạm vi toàn cầu trải rộng các tổ chức ở Hungary, Papua New Guinea, Hoa Kỳ và Ả Rập Xê Út.
Kỹ thuật và Phương thức Hoạt động
Sự tinh vi về mặt kỹ thuật của chiến dịch nằm ở việc sử dụng hạ tầng đám mây hợp pháp và các kỹ thuật lừa đảo tiên tiến nhằm tối đa hóa khả năng thu thập thông tin đăng nhập.
Lợi dụng Hạ tầng Đám mây Hợp pháp
Bằng cách lưu trữ các trang phishing trên các **AWS S3 buckets**, những kẻ tấn công khai thác sự tin cậy vốn có liên quan đến các nền tảng này để không bị phát hiện, đồng thời tăng cường độ tin cậy của các trang web độc hại của chúng. Ngoài ra, việc tích hợp **Cloudflare Turnstile**, một giải pháp thay thế CAPTCHA, tạo ra cảm giác an toàn sai lầm, thuyết phục nạn nhân về tính hợp pháp của trang web và tăng đáng kể khả năng họ gửi thông tin đăng nhập.
Thiết kế Trang Phishing Tinh vi
Điểm cốt lõi của chiến dịch này là thiết kế chiến lược các trang phishing bắt chước chặt chẽ các cổng đăng nhập hợp pháp, hoàn chỉnh với các địa chỉ email đã điền sẵn của các tổ chức mục tiêu để tăng cường tính xác thực. Ví dụ, các URL được **CRIL** xác định, chẳng hạn như những URL được lưu trữ trên **flyplabtk[.]s3.us-east-2.amazonaws.com**, hiển thị địa chỉ email của **HunCERT** trong trường tên người dùng để lừa người dùng nhập mật khẩu của họ.
Khung LogoKit và Tự động hóa
Khung **LogoKit** tiếp tục tối ưu hóa cuộc tấn công bằng cách tự động hóa việc truy xuất logo thông qua các API như **Clearbit** và **Google S2 Favicon**, tự động lấy các yếu tố thương hiệu dựa trên domain email của nạn nhân. Điều này loại bỏ nhu cầu tùy chỉnh thủ công, giúp chiến dịch có khả năng mở rộng và thích ứng với nhiều mục tiêu khác nhau.
Thu thập Thông tin và Cơ chế Điều khiển (C2)
Thông tin đăng nhập đã thu thập được sẽ được chuyển đến một domain điều khiển và kiểm soát (**C&C**), là **mettcoint[.]com**. Domain này được đăng ký vào tháng 10 năm 2024 và vẫn đang hoạt động với **zero detections** trên **VirusTotal** tính đến tháng 7 năm 2025, cho thấy hoạt động lén lút của nó. Các đường dẫn thư mục mở trên domain này đã tiết lộ thêm các trang phishing mạo danh dịch vụ như **WeTransfer**, cùng với bằng chứng về các cuộc tấn công nhắm vào các thực thể như **Kina Bank** ở Papua New Guinea và các công ty logistics tại Ả Rập Xê Út. Việc sử dụng một thông báo lỗi giả mạo sau khi gửi dữ liệu – “Error Submitting form. Please try again” – làm trì hoãn sự nghi ngờ, tạo cho những kẻ tấn công đủ thời gian để khai thác dữ liệu đánh cắp.
Chỉ số Đe dọa (IOCs)
- Domain C&C: mettcoint[.]com
- URL Phishing: flyplabtk[.]s3.us-east-2.amazonaws.com
Kết luận và Khuyến nghị Phòng ngừa
Sự bền bỉ của chiến dịch này, kết hợp với tình trạng không bị phát hiện, làm nổi bật sự tinh vi ngày càng tăng của các chiến thuật phishing và nhu cầu cấp bách về các biện pháp an ninh mạng chủ động để chống lại các mối đe dọa như vậy. Các biện pháp phòng ngừa được khuyến nghị bao gồm:
- Sử dụng các giải pháp tình báo thương hiệu (ví dụ: Cyble Vision) để theo dõi và phát hiện các trường hợp mạo danh.
- Triển khai xác thực đa yếu tố (**MFA**) cho tất cả các tài khoản.
- Thực hiện đào tạo nâng cao nhận thức cho nhân viên về các mối đe dọa phishing và cách nhận diện chúng.
