Sự Trỗi Dậy của Phishing Qua PDF Độc Hại
Nhóm bảo mật Talos của Cisco đã phát hiện sự gia tăng đáng kể trong các chiến dịch phishing tinh vi, sử dụng tệp PDF độc hại để mạo danh các thương hiệu uy tín. Theo cập nhật gần đây từ công cụ phát hiện mạo danh thương hiệu của Cisco, phạm vi của các cuộc tấn công này đã mở rộng, nhắm mục tiêu vào nhiều tổ chức nổi tiếng hơn thông qua các email lừa đảo được thiết kế để khai thác lòng tin của người dùng.
Các tệp PDF này, thường được ngụy trang thành tài liệu hợp pháp, chứa các logo thương hiệu, mã QR và siêu liên kết nhằm lừa người nhận tiết lộ thông tin nhạy cảm hoặc tương tác trực tiếp với kẻ tấn công.
Dữ liệu của Talos cho thấy Microsoft và DocuSign là những thương hiệu bị mạo danh thường xuyên nhất trong các email phishing kèm tệp PDF. Trong khi đó, NortonLifeLock, PayPal và Geek Squad là các thương hiệu hàng đầu bị lợi dụng trong các vụ lừa đảo Telephone-Oriented Attack Delivery (TOAD).
Các Phương Thức Tấn Công Chính
Impersonation Thương Hiệu qua PDF
Kẻ tấn công khai thác sự tin cậy của người dùng vào các thương hiệu lớn bằng cách giả mạo thông tin liên lạc và tài liệu. Các chiến dịch phishing thường sử dụng thời điểm chiến lược, chẳng hạn như dòng chủ đề “Paycheck Increment” trong các mùa khuyến mãi. Email được tạo ra tỉ mỉ với logo hoặc siêu liên kết được nhúng dẫn đến các trang giả mạo, bắt chước các dịch vụ quen thuộc như Dropbox. Mục tiêu cuối cùng là thu thập thông tin đăng nhập hoặc dữ liệu nhạy cảm khác từ nạn nhân.
TOAD (Telephone-Oriented Attack Delivery) – Phishing Gọi Lại
Một xu hướng đáng báo động đặc biệt được Talos nhấn mạnh là việc sử dụng TOAD, còn được gọi là phishing gọi lại (callback phishing). Trong phương thức này, nạn nhân bị dụ gọi đến các số điện thoại do kẻ tấn công kiểm soát, được liệt kê trong các tệp PDF đính kèm độc hại. Khác với phishing truyền thống dựa vào các trang web giả mạo, TOAD khai thác nhận thức về tính bảo mật của giao tiếp bằng giọng nói.
Kẻ tấn công, thường sử dụng số Voice over Internet Protocol (VoIP) để ẩn danh, giả mạo các đại diện hợp pháp từ các tổ chức lớn. Chúng thao túng nạn nhân chia sẻ dữ liệu bí mật hoặc cài đặt phần mềm độc hại. Talos cũng ghi nhận các trường hợp số điện thoại được tái sử dụng trong nhiều ngày liên tiếp, có thể do việc chia sẻ thông tin tình báo về các chỉ số thỏa hiệp (IOCs) này diễn ra chậm và mang lại lợi ích về mặt hậu cần cho kẻ lừa đảo.
Phishing Mã QR trong PDF
Ngoài ra, phishing mã QR đã nổi lên như một vector tấn công mạnh mẽ. Các mã độc hại được nhúng trong tệp PDF chuyển hướng người dùng đến các trang phishing, thường được bảo vệ bằng cơ chế CAPTCHA. Điều này làm tăng thêm vẻ hợp pháp giả mạo và gây khó khăn cho việc phân tích tự động. Talos đã quan sát các trường hợp mà mã QR ban đầu liên kết đến các trang hợp pháp để xây dựng lòng tin, trong khi các chú thích (annotations) trong cùng tệp PDF lại bí mật chuyển hướng đến các trang phishing, thường bị che giấu bởi các dịch vụ rút gọn URL.
Kỹ Thuật Né Tránh và Khai Thác Niềm Tin
Các tệp PDF độc hại được thiết kế để né tránh sự phát hiện của các giải pháp bảo mật email. Chúng làm điều này bằng cách nhúng nội dung độc hại vào chú thích (annotations) hoặc các lớp ẩn (hidden layers). Kỹ thuật này giúp chúng qua mặt các bộ lọc email thiếu khả năng nhận dạng ký tự quang học (OCR), vốn không thể phân tích nội dung được ẩn giấu theo cách này.
Talos cũng đã xác định việc lạm dụng các nền tảng hợp pháp như dịch vụ chữ ký điện tử của Adobe. Trong các trường hợp này, toàn bộ các tệp PDF độc hại mạo danh các thương hiệu như PayPal được tải lên và gửi trực tiếp đến nạn nhân. Những chiến thuật này khai thác sự tin cậy vốn có vào các công cụ và dịch vụ được sử dụng rộng rãi, từ đó làm tăng đáng kể hiệu quả của cuộc tấn công.
Bản chất đa lớp của các tệp PDF, bao gồm văn bản, hình ảnh và các thành phần cấu trúc như chú thích, cho phép kẻ tấn công ẩn các URL độc hại hoặc thêm “nhiễu” không liên quan. Việc thêm nhiễu giúp các tệp PDF tránh bị gắn cờ bởi các bộ lọc spam, vốn thường tìm kiếm các mẫu hoặc từ khóa cụ thể.
Chỉ Số Thỏa Hiệp (IOCs)
Các chỉ số thỏa hiệp (IOCs) được Talos ghi nhận trong các chiến dịch này chủ yếu bao gồm:
- Tái sử dụng các số điện thoại do kẻ tấn công kiểm soát trong các chiến dịch TOAD, đôi khi kéo dài nhiều ngày liên tiếp.
Đối Phó Với Các Mối Đe Dọa Phức Hợp
Để đối phó với những mối đe dọa đang phát triển này, Cisco đang nỗ lực không ngừng nhằm cải thiện công cụ phát hiện của mình bằng cách mở rộng phạm vi bao phủ và thu thập thông tin tình báo về các số điện thoại như các IOCs.
Sự giao thoa giữa mạo danh thương hiệu, TOAD và phishing mã QR trong các tệp PDF độc hại nhấn mạnh sự cần thiết của các giải pháp bảo mật email mạnh mẽ và nâng cao nhận thức người dùng. Khi tội phạm mạng tinh chỉnh các kỹ thuật kỹ thuật xã hội của chúng, khai thác cả lỗ hổng kỹ thuật và tâm lý con người, các tổ chức và cá nhân cần phải luôn cảnh giác và triển khai các biện pháp phòng vệ nhiều lớp để giảm thiểu các mối đe dọa mạng phổ biến và lừa đảo này.
