Bộ công cụ lừa đảo mới Xiū gǒu nhắm vào người dùng trên năm quốc gia với 2.000 trang web giả mạo
Bộ công cụ lừa đảo mới Xiū gǒu nhắm vào người dùng trên năm quốc gia với 2.000 trang web giả mạo
Các nhà nghiên cứu an ninh mạng đã tiết lộ một bộ công cụ lừa đảo mới đã được sử dụng trong các chiến dịch nhắm vào Úc, Nhật Bản, Tây Ban Nha, Vương quốc Anh và Hoa Kỳ kể từ ít nhất tháng 9 năm 2024.
Netcraft cho biết hơn 2.000 trang web lừa đảo đã được xác định là bộ công cụ, được gọi là Xiū gǒu, với dịch vụ được sử dụng trong các cuộc tấn công nhắm vào nhiều ngành dọc, chẳng hạn như khu vực công, bưu chính, dịch vụ kỹ thuật số và dịch vụ ngân hàng.
"Những tác nhân đe dọa sử dụng bộ công cụ để triển khai các trang web lừa đảo thường dựa vào khả năng chống bot và che giấu lưu trữ của Cloudflare để ngăn chặn việc phát hiện", Netcraft cho biết trong một báo cáo được công bố vào thứ năm.
Một số khía cạnh của bộ công cụ lừa đảo đã được các nhà nghiên cứu bảo mật Will Thomas (@ BushidoToken) và Fox_threatintel (@banthisguy9349) ghi lại vào tháng 9 năm 2024.
Bộ công cụ lừa đảo như Xiū gǒu gây ra rủi ro vì chúng có thể làm giảm rào cản gia nhập đối với những tin tặc ít kỹ năng hơn, có khả năng dẫn đến gia tăng các chiến dịch độc hại có thể dẫn đến đánh cắp thông tin nhạy cảm.
Xiū gǒu, là sản phẩm của một tác nhân đe dọa nói tiếng Trung Quốc, cung cấp cho người dùng bảng điều khiển quản trị và được phát triển bằng các công nghệ như Golang và Vue.js. Bộ công cụ này cũng được thiết kế để đánh cắp thông tin đăng nhập và thông tin khác từ các trang lừa đảo giả mạo được lưu trữ trên tên miền cấp cao nhất ".top" qua Telegram.
Các cuộc tấn công lừa đảo được lan truyền qua tin nhắn Dịch vụ truyền thông phong phú (RCS) thay vì tin nhắn SMS, cảnh báo người nhận về các khoản phạt đỗ xe được cho là và việc giao hàng không thành công. Các tin nhắn cũng hướng dẫn họ nhấp vào liên kết được rút gọn bằng dịch vụ rút gọn URL để trả tiền phạt hoặc cập nhật địa chỉ giao hàng.
"Những vụ lừa đảo thường thao túng nạn nhân cung cấp thông tin cá nhân và thực hiện thanh toán, ví dụ như để giải phóng một bưu kiện hoặc nộp phạt", Netcraft cho biết.
RCS, chủ yếu có sẵn qua Apple Messages (bắt đầu từ iOS 18) và Google Messages dành cho Android, cung cấp cho người dùng trải nghiệm nhắn tin được nâng cấp với hỗ trợ chia sẻ tệp, chỉ báo nhập và hỗ trợ tùy chọn cho mã hóa đầu cuối (E2EE).
Trong một bài đăng trên blog vào cuối tháng trước, gã khổng lồ tìm kiếm đã nêu chi tiết về các biện pháp bảo vệ mới mà họ đang kết hợp vào ứng dụng Messages để chống lại các vụ lừa đảo lừa đảo, bao gồm triển khai tính năng phát hiện lừa đảo nâng cao bằng các mô hình học máy trên thiết bị để lọc cụ thể các tin nhắn gian lận liên quan đến việc giao hàng bưu kiện và cơ hội việc làm.
Google cũng cho biết họ đang thử nghiệm các cảnh báo bảo mật khi người dùng ở Ấn Độ, Thái Lan, Malaysia và Singapore nhận được tin nhắn văn bản từ những người gửi không xác định có liên kết có khả năng gây nguy hiểm. Các biện pháp bảo vệ mới, dự kiến sẽ được mở rộng trên toàn cầu vào cuối năm nay, cũng chặn các tin nhắn có liên kết từ những người gửi đáng ngờ.
Cuối cùng, công ty tìm kiếm lớn đang thêm tùy chọn "tự động ẩn tin nhắn từ những người gửi quốc tế không phải là danh bạ hiện tại" bằng cách di chuyển chúng vào thư mục "Thư rác & bị chặn". Tính năng này dự kiến sẽ được kích hoạt lần đầu tiên dưới dạng thử nghiệm tại Singapore trước cuối năm 2024.
Bộ công cụ lừa đảo mới Xiū gǒu
Việc tiết lộ này diễn ra khi Cisco Talos tiết lộ rằng người dùng tài khoản quảng cáo và doanh nghiệp Facebook tại Đài Loan đang bị một tác nhân đe dọa không xác định nhắm mục tiêu như một phần của chiến dịch lừa đảo được thiết kế để phân phối phần mềm độc hại đánh cắp như Lumma hoặc Rhadamanthys.
Các tin nhắn dụ dỗ được nhúng một liên kết, khi nhấp vào, sẽ đưa nạn nhân đến tên miền Dropbox hoặc Google Appspot, kích hoạt việc tải xuống tệp lưu trữ RAR chứa tệp thực thi PDF giả, đóng vai trò là kênh dẫn để thả phần mềm độc hại đánh cắp.
"Email giả mạo và tên tệp PDF giả được thiết kế để mạo danh bộ phận pháp lý của công ty, cố gắng dụ nạn nhân tải xuống và thực thi phần mềm độc hại", nhà nghiên cứu Joey Chen của Talos cho biết, đồng thời nói thêm rằng hoạt động này đã diễn ra từ tháng 7 năm 2024.
"Các email yêu cầu xóa nội dung vi phạm trong vòng 24 giờ, ngừng sử dụng thêm mà không có sự cho phép bằng văn bản và cảnh báo về hành động pháp lý tiềm ẩn và yêu cầu bồi thường vì không tuân thủ".
Các chiến dịch lừa đảo cũng đã được phát hiện mạo danh OpenAI nhắm vào các doanh nghiệp trên toàn thế giới, hướng dẫn họ cập nhật ngay thông tin thanh toán của mình bằng cách nhấp vào siêu liên kết bị che giấu.
"Cuộc tấn công này được gửi từ một tên miền duy nhất đến hơn 1.000 người nhận", Barracuda cho biết trong một báo cáo. "Tuy nhiên, email đã sử dụng các siêu liên kết khác nhau trong nội dung email, có thể là để tránh bị phát hiện. Email đã vượt qua các lần kiểm tra DKIM và SPF, điều đó có nghĩa là email được gửi từ một máy chủ được ủy quyền để gửi email thay mặt cho tên miền. Tuy nhiên, bản thân tên miền này lại đáng ngờ".
Hương – Theo TheHackerNews
Tin liên quan:
NTS xin thông báo đến Quý khách hàng thời gian nghỉ lễ Tết Dương Lịch ngày Thứ Tư 01/01/2025 theo hướng dẫn của Chính Phủ ban hành. Chúng tôi sẽ làm...
Chi tiếtTin tức đã trở thành tiêu đề trong suốt cuối tuần về chiến dịch tấn công mở rộng nhắm vào các tiện ích mở rộng của trình duyệt và tiêm mã độc vào...
Chi tiếtMặc dù nhiều người dùng và tổ chức không nhận thức được những rủi ro tiềm ẩn liên quan đến tiện ích mở rộng trình duyệt, nhưng có một số hành động...
Chi tiết