Một làn sóng tấn công lừa đảo tinh vi gần đây đang nhắm mục tiêu vào các nhà phát triển và chủ sở hữu doanh nghiệp nhỏ thông qua email hỗ trợ giả mạo, vượt qua các bộ lọc thư rác truyền thống và khai thác các nền tảng đáng tin cậy như Google Sites. Các cuộc tấn công, vốn đã ảnh hưởng đến nhiều nhà điều hành trang web, sử dụng kỹ thuật xã hội tinh vi để thuyết phục nạn nhân thực thi các lệnh độc hại cài đặt phần mềm độc hại đánh cắp dữ liệu trên hệ thống của họ.
Phương Pháp Tấn Công Được Tiết Lộ
Chiến dịch lừa đảo bắt đầu bằng những yêu cầu hỗ trợ có vẻ hợp pháp phàn nàn về các sự cố trang web không tồn tại, đặc biệt là các hộp thoại đồng ý cookie giả mạo mà thực tế không hề tồn tại trên các trang web mục tiêu. Khi các nhà phát triển phản hồi những email ban đầu này, họ nhận được các tin nhắn tiếp theo chứa các liên kết dẫn đến những thứ trông giống như ảnh chụp màn hình Google Drive nhưng thực chất dẫn đến các trang Google Sites lưu trữ các hệ thống xác minh CAPTCHA giả mạo. Những trang xác minh giả mạo này tự động sao chép các lệnh độc hại vào clipboard của nạn nhân, được ngụy trang dưới dạng các bước xác minh đơn giản.
Cuộc tấn công đặc biệt nhắm vào người dùng macOS với các lệnh tải xuống và thực thi phần mềm độc hại từ các trang web hợp pháp bị xâm nhập. Một payload được phân tích đã tải xuống một tệp thực thi nhị phân phổ thông hoạt động trên cả Mac Intel và Apple Silicon, sau đó làm cho nó có thể thực thi và chạy ngay lập tức. Phần mềm độc hại này hoạt động như một Trojan truy cập từ xa có khả năng đánh cắp dữ liệu quy mô lớn từ các hệ thống bị nhiễm.
Bản thân tệp nhị phân này dường như là một Trojan truy cập từ xa và phần mềm độc hại đánh cắp dữ liệu cho MacOS. Nó cung cấp một reverse-shell và đánh cắp các tệp với nhiều phần mở rộng khác nhau bao gồm tài liệu, ví tiền điện tử, dữ liệu trình duyệt và cơ sở dữ liệu keychain của MacOS.
Các Vector Tấn Công Phổ Biến Đã Xác Định:
- Email hỗ trợ giả mạo về các hộp thoại đồng ý cookie không tồn tại
- Các trang Google Sites lưu trữ xác minh CAPTCHA giả mạo
- Tự động sao chép lệnh vào clipboard
- Lạm dụng các tên miền đáng tin cậy: sites.google.com, Dropbox, DocuSign
- Chiến thuật tạo cảm giác khẩn cấp thông qua kỹ thuật social engineering (tuyên bố về chức năng trang web)
 |
|---|
| Các bước liên quan đến một cuộc tấn công thực thi mã từ xa làm nổi bật những rủi ro liên quan đến việc thực thi các lệnh không đáng tin cậy |
Lý Do Khiến Cuộc Tấn Công Này Đặc Biệt Nguy Hiểm
Điều khiến chiến dịch này đặc biệt đáng lo ngại là việc nó khai thác các tên miền và nền tảng đáng tin cậy. Những kẻ tấn công lưu trữ nội dung độc hại của chúng trên sites.google.com, tận dụng lợi thế về sự tin tưởng của người dùng vào cơ sở hạ tầng của Google. Các nhà nghiên cứu bảo mật lưu ý rằng nhiều tổ chức đã chặn sites.google.com ở cấp độ doanh nghiệp do nó thường xuyên bị lạm dụng trong các cuộc tấn công tương tự. Bản thân các email lừa đảo thường vượt qua bộ lọc thư rác vì các tin nhắn ban đầu có vẻ hợp pháp, trong khi chỉ các tin nhắm tiếp theo chứa liên kết độc hại mới bị gắn cờ.
Khả năng của phần mềm độc hại là rất rộng, nhắm mục tiêu vào dữ liệu người dùng nhạy cảm bao gồm phiên trình duyệt và cookie, khóa SSH, mã thông báo API, ví tiền điện tử, hồ sơ VPN và thậm chí cả Apple Notes. Việc phân tích cho thấy phần mềm độc hại bị làm rối vừa phải bằng cách sử dụng mật mã XOR để ẩn cả dữ liệu nội bộ và liên lạc với máy chủ command-and-control của nó. Cuộc tấn công này chứng minh cách kỹ thuật xã hội có thể vượt qua các biện pháp bảo mật kỹ thuật bằng cách thuyết phục người dùng tự nguyện thực thi mã độc.
Phân tích khả năng của Malware:
- Nhắm mục tiêu vào cả hai kiến trúc Intel x86_64 và Apple Silicon ARM64
- Đánh cắp các tệp tin có phần mở rộng: .txt, .rtf, .doc, .docx, .xls, .xlsx, .key, .wallet, .jpg, .dat, .pdf, .pem, .asc, .ppk, .rdp, .sql, .ovpn, .kdbx, .conf, .json
- Đánh cắp dữ liệu phiên làm việc và cookies của trình duyệt
- Truy cập cơ sở dữ liệu keychain trên MacOS
- Trích xuất tất cả ghi chú từ ứng dụng Notes trên MacOS
- Sử dụng mã hóa XOR để làm rối dữ liệu và thông tin liên lạc
Xu Hướng Lạm Dụng Nền Tảng Rộng Hơn
Sự việc này làm nổi bật một vấn đề ngày càng gia tăng khi những kẻ tấn công lạm dụng các nền tảng và dịch vụ hợp pháp để tạo uy tín cho các âm mưu của chúng. Ngoài Google Sites, các chuyên gia bảo mật báo cáo rằng họ đã chứng kiến các cuộc tấn công tương tự sử dụng Dropbox, DocuSign và các dịch vụ đáng tin cậy khác để lưu trữ payload độc hại. Những kẻ tấn công tận dụng sự quen thuộc của người dùng với các nền tảng này để vượt qua sự nghi ngờ, biết rằng mọi người có nhiều khả năng tin tưởng các liên kết từ các tên miền nổi tiếng.
Tính kinh tế của các cuộc tấn công này khiến chúng đặc biệt dai dẳng. Như một bình luận viên đã lưu ý, Điều đáng sợ là chỉ cần nhiều nhất một buổi chiều để mở rộng quy mô loại tấn công này đến hàng nghìn nạn nhân tiềm năng, và ngay cả tỷ lệ thành công 5% cũng mang lại hàng chục cuộc tấn công thành công. Rào cản gia nhập thấp này kết hợp với phần thưởng tiềm năng cao đảm bảo rằng các chiến dịch này sẽ tiếp tục phát triển và nhắm mục tiêu vào các nạn nhân mới.
Phản Ứng Của Cộng Đồng Và Các Biện Pháp Bảo Vệ
Cộng đồng kỹ thuật đã phản ứng với cả phân tích và lời khuyên thực tế để tránh các cuộc tấn công tương tự. Các nhà nghiên cứu bảo mật nhanh chóng reverse-engineered phần mềm độc hại, xác định nó tương tự như AMOS (Atomic MacOS Stealer) và chi tiết khả năng đánh cắp dữ liệu của nó. Nhiều người nhấn mạnh rằng mặc dù cuộc tấn công có vẻ tinh vi, nó vẫn đòi hỏi nhiều lỗi lầm của người dùng để thành công - từ việc nhấp vào các liên kết đáng ngờ đến việc dán và thực thi các lệnh không xác định trong terminal.
Để bảo vệ, các chuyên gia khuyến nghị một số thực hành quan trọng: luôn xác minh điểm đến thực tế của các URL được rút gọn hoặc ngụy trang, không bao giờ chạy lệnh từ các nguồn không đáng tin cậy mà không kiểm tra kỹ lưỡng, và sử dụng các công cụ như dịch vụ quét virus cho các tệp đáng ngờ. Một số đề xuất các biện pháp kỹ thuật như kiểm tra nội dung clipboard bằng trình chỉnh sửa hex trước khi dán vào terminal, trong khi những người khác nhấn mạnh tầm quan trọng của các chính sách tổ chức chặn các tên miền rủi ro cao như sites.google.com ở cấp độ mạng.
Sự tiến hóa không ngừng của các cuộc tấn công này chứng tỏ rằng các giải pháp kỹ thuật đơn thuần là không đủ. Khi các chiến dịch lừa đảo trở nên cá nhân hóa hơn và tận dụng nội dung được tạo bằng AI, giáo dục người dùng và sự hoài nghi vẫn là các biện pháp phòng thủ quan trọng. Sự đồng thuận của cộng đồng cho thấy rằng mặc dù các nền tảng như Google có thể làm nhiều hơn để ngăn chặn sự lạm dụng, trách nhiệm cuối cùng thuộc về người dùng trong việc duy trì sự cảnh giác trước các chiến thuật xã hội ngày càng tinh vi.
Tham khảo: The scariest user support email I've ever received