Trong vài tháng qua, nhiều nhóm tấn công đã xâm nhập thành công tài khoản email công ty của ít nhất 156 nhân viên cao cấp tại các công ty khác nhau có trụ sở tại Đức, Anh, Hà Lan, Hồng Kông và Singapore.
PerSwaysion, chiến dịch tấn công mạng mới được phát hiện, đã thông qua việc đẩy mạnh các dịch vụ chia sẻ tập tin của Microsoft, bao gồm: Sway, SharePoint và OneNote, để thực hiện các cuộc tấn công lừa đảo nhắm đến các mục tiêu cụ thể nhằm đạt kết quả cao.
Theo báo cáo của Group-IB Threat Intelligence được công bố hôm 30/04 và chia sẻ với The Hacker News, hoạt động của PerSwaysion đã tấn công các giám đốc điều hành của hơn 150 công ty trên khắp thế giới, chủ yếu là với các doanh nghiệp trong lĩnh vực tài chính, luật và bất động sản.
“Trong số các nạn nhân là nhân viên cấp cao, hơn 20 tài khoản Office365 của chuyên viên, chủ tịch và giám đốc điều hành đã xuất hiện.”
Cho đến nay, các cuộc tấn công này đều thành công và vẫn đang tiếp diễn, hầu hết các hoạt động của PerSwaysion đều được dàn dựng bởi những kẻ lừa đảo đến từ Nigeria và Nam Phi, những người này đã sử dụng bộ công cụ tấn công dựa trên framework Vue.js JavaScript, được phát triển từ các hacker người Việt.
“Đến cuối tháng 9 năm 2019, chiến dịch PerSwaysion đã áp dụng nhiều công nghệ stacks, sử dụng Google appspot cho việc phising các máy chủ của ứng dụng web và Cloudflare cho các máy chủ dữ liệu backend.”
Giống như hầu hết các cuộc tấn công lừa đảo nhằm đánh cắp thông tin đăng nhập Microsoft Office 365, các email lừa đảo của hoạt động PerSwaysion cũng dụ dỗ các nạn nhân bằng tệp đính kèm PDF không độc hại có chứa liên kết “read now” đến tập tin được lưu trữ với Microsoft Sway.
“Những kẻ tấn công chọn các dịch vụ chia sẻ nội dung dựa trên các dịch vụ điện toán đám mây, như Microsoft Sway, Microsoft SharePoint và OneNote để tránh bị phát hiện lưu lượng truy cập”, các nhà nghiên cứu cho biết.
Tiếp theo, giao diện được thiết kế đặc biệt trên dịch vụ Microsoft Sway còn chứa một liên kết “read now” khác để chuyển hướng người dùng đến trang web lừa đảo, chờ đợi các nạn nhân nhập thông tin tài khoản email hoặc thông tin bí mật khác.
Sau khi bị đánh cắp, kẻ tấn công ngay lập tức chuyển sang bước tiếp theo và tải xuống dữ liệu email của nạn nhân từ máy chủ bằng API IMAP và sau đó mạo danh danh tính của họ để nhắm vào những người đã liên lạc qua email với nạn nhân gần đây, những người nắm giữ vai trò quan trọng trong cùng hoặc khác công ty.
“Cuối cùng, chúng tạo ra các tệp PDF lừa đảo mới với đầy đủ họ tên, địa chỉ email, tên công ty hợp pháp của nạn nhân. Các tệp PDF này được gửi tới một người nào đó, thường là những người ở bên ngoài tổ chức của nạn nhân và giữ các vị trí quan trọng. Những kẻ vận hành của PerSwaysion thường xóa các email mạo danh khỏi hộp thư đi để tránh sự nghi ngờ. ”
“Bằng chứng chỉ ra rằng những kẻ lừa đảo có khả năng sử dụng hồ sơ LinkedIn để đánh giá các vị trí nạn nhân tiềm năng. Chiến thuật như vậy làm giảm khả năng cảnh báo sớm từ đồng nghiệp của nạn nhân hiện tại và tăng tỷ lệ thành công của chu kỳ lừa đảo mới.”
Mặc dù không có bằng chứng rõ ràng về cách những kẻ tấn công đang sử dụng dữ liệu của công ty bị xâm phạm, các nhà nghiên cứu tin rằng nó có thể được “bán với số lượng lớn cho những kẻ lừa đảo tài chính khác để thực hiện các vụ lừa đảo tiền tệ truyền thống”.
Group-IB cũng đã thiết lập một trang web trực tuyến nơi mọi người có thể kiểm tra xem địa chỉ email của họ có bị xâm phạm như một phần của cuộc tấn công PerSwaysion hay không, tuy nhiên, bạn chỉ nên sử dụng nó và nhập email của mình nếu bạn nghi ngờ mình có khả năng bị tấn công cao.
Theo
thehackernews.com
Add Comment