Các nhà nghiên cứu an ninh mạng đã cảnh báo về sự gia tăng các trang lừa đảo được tạo bằng công cụ xây dựng trang web Webflow, khi các tác nhân đe dọa tiếp tục lợi dụng các dịch vụ hợp pháp như Cloudflare và Microsoft Sway để đạt được lợi thế của mình.
“Các chiến dịch nhắm vào thông tin nhạy cảm từ các ví tiền điện tử khác nhau, bao gồm Coinbase, MetaMask, Phantom, Trezor và Bitbuy, cũng như các thông tin đăng nhập cho nhiều nền tảng webmail của công ty và tài khoản Microsoft 365,” nhà nghiên cứu từ Netskope Threat Labs, Jan Michael Alcantara, cho biết trong một phân tích.
Công ty an ninh mạng cho biết họ đã theo dõi sự gia tăng gấp 10 lần về lưu lượng truy cập đến các trang lừa đảo tạo bằng Webflow từ tháng 4 đến tháng 9 năm 2024, với các cuộc tấn công nhắm vào hơn 120 tổ chức trên toàn thế giới. Phần lớn mục tiêu nằm ở Bắc Mỹ và Châu Á, bao gồm các ngành dịch vụ tài chính, ngân hàng và công nghệ.
Các tác nhân đe dọa đã sử dụng Webflow để tạo các trang lừa đảo độc lập cũng như chuyển hướng người dùng không nghi ngờ đến các trang lừa đảo khác do họ kiểm soát.
“Các trang lừa đảo độc lập giúp kẻ tấn công duy trì sự ẩn danh và dễ dàng hơn vì không có mã lừa đảo nào cần viết và phát hiện, trong khi chuyển hướng giúp kẻ tấn công linh hoạt hơn để thực hiện các hành động phức tạp hơn nếu cần,” Alcantara giải thích.
Điều gì khiến Webflow trở nên hấp dẫn hơn so với Cloudflare R2 hay Microsoft Sway là nó cho phép người dùng tạo tên miền con tùy chỉnh mà không tốn thêm chi phí, trái ngược với các tên miền tự động với chuỗi ký tự ngẫu nhiên dễ gây nghi ngờ.
- Cloudflare R2 – https://pub-<chuỗi_32_ký_tự>.r2.dev/webpage.htm
- Microsoft Sway – https://sway.cloud.microsoft/{chuỗi_16_ký_tự}?ref={tùy_chọn_chia_sẻ}
Các trang lừa đảo được thiết kế để bắt chước trang đăng nhập của các dịch vụ hợp pháp, nhằm đánh lừa người dùng cung cấp thông tin đăng nhập của mình, và sau đó thông tin này được gửi đến một máy chủ khác trong một số trường hợp.
Netskope cũng đã xác định các trang lừa đảo liên quan đến tiền điện tử trên Webflow, sử dụng hình ảnh chụp màn hình của trang chủ ví điện tử hợp pháp làm trang chính và chuyển hướng người dùng đến trang lừa đảo thật khi nhấp vào bất cứ đâu trên trang giả.
Mục tiêu cuối cùng của chiến dịch lừa đảo tiền điện tử là đánh cắp cụm từ khôi phục của nạn nhân, cho phép kẻ tấn công kiểm soát ví tiền điện tử và rút tiền.
Trong các cuộc tấn công được xác định, người dùng khi cung cấp cụm từ khôi phục sẽ nhận được thông báo lỗi nói rằng tài khoản của họ đã bị đình chỉ do “hoạt động trái phép và lỗi xác minh danh tính.” Thông báo cũng yêu cầu người dùng liên hệ với đội hỗ trợ bằng cách mở chat trực tuyến trên tawk.to.
Các dịch vụ chat như LiveChat, Tawk.to và Smartsupp cũng đã bị lạm dụng như một phần của chiến dịch lừa đảo tiền điện tử được Avast gọi là CryptoCore.
“Người dùng nên luôn truy cập vào các trang quan trọng như ngân hàng hay webmail của mình bằng cách nhập URL trực tiếp vào trình duyệt thay vì sử dụng công cụ tìm kiếm hoặc nhấp vào các liên kết khác,” Alcantara khuyên.
Sự phát triển này diễn ra khi các tội phạm mạng đang quảng bá các dịch vụ chống bot mới trên dark web, tuyên bố có thể vượt qua các cảnh báo Duyệt Web An Toàn của Google trên trình duyệt Chrome.
“Các dịch vụ chống bot, như Otus Anti-Bot, Remove Red và Limitless Anti-Bot, đã trở thành nền tảng của các chiến dịch lừa đảo phức tạp,” SlashNext cho biết trong một báo cáo gần đây.
“Bằng cách lọc ra các bot an ninh mạng và ngụy trang các trang lừa đảo khỏi các công cụ quét, những công cụ này giúp các trang web độc hại kéo dài thời gian tồn tại, giúp tội phạm mạng tránh bị phát hiện lâu hơn.”
Các chiến dịch malspam và quảng cáo độc hại đang tiếp tục được phát hiện để phát tán phần mềm độc hại có tên WARMCOOKIE (còn gọi là BadSpace), sau đó hoạt động như một phương tiện cho các phần mềm độc hại khác như CSharp-Streamer-RAT và Cobalt Strike.
“WarmCookie cung cấp nhiều chức năng hữu ích cho kẻ xấu, bao gồm triển khai tải trọng, thao tác tập tin, thực thi lệnh, thu thập ảnh chụp màn hình và duy trì sự hiện diện, làm cho nó trở nên hấp dẫn để sử dụng trên các hệ thống đã bị xâm nhập nhằm duy trì quyền truy cập lâu dài,” Cisco Talos cho biết.
Phân tích mã nguồn cho thấy phần mềm độc hại này có khả năng được phát triển bởi cùng một nhóm tác nhân đe dọa đã phát triển Resident, một implant được triển khai sau khi xâm nhập hệ thống trong một bộ công cụ tấn công có tên TA866 (còn được gọi là Asylum Ambuscade), cùng với mã độc đánh cắp thông tin Rhadamanthys. Các chiến dịch này đã tập trung nhắm vào lĩnh vực sản xuất, sau đó là chính phủ và dịch vụ tài chính.
“Mặc dù mục tiêu dài hạn liên quan đến các chiến dịch phân phối có vẻ ngẫu nhiên, hầu hết các trường hợp quan sát thấy tải trọng bổ sung đều xảy ra tại Hoa Kỳ, cùng với một số trường hợp khác rải rác tại Canada, Vương Quốc Anh, Đức, Ý, Áo và Hà Lan,” Talos cho biết.
Theo TheHackerNews/ Huna
