Các tác nhân đe dọa đằng sau chiến dịch lừa đảo đối thủ ở giữa (AiTM) quy mô lớn nhắm mục tiêu đến người dùng doanh nghiệp sử dụng dịch vụ email của Microsoft cũng đã để mắt đến người dùng Google Workspace.
“Chiến dịch này nhắm mục tiêu cụ thể đến giám đốc điều hành và các thành viên cấp cao khác của các tổ chức khác nhau sử dụng [Google Workspace]”Các nhà nghiên cứu của Zscaler, Sudeep Singh và Jagadeeswar Ramanukolanu đã nêu chi tiết trong một báo cáo được công bố trong tháng này.
Các cuộc tấn công lừa đảo AiTM được cho là đã bắt đầu vào giữa tháng 7 năm 2022, theo một mô thức hoạt động tương tự như của một chiến dịch kỹ thuật xã hội được thiết kế để bòn rút thông tin đăng nhập Microsoft của người dùng và thậm chí bỏ qua xác thực đa yếu tố.
Chiến dịch lừa đảo Gmail AiTM khối lượng thấp cũng đòi hỏi việc sử dụng các email bị xâm nhập của các giám đốc điều hành để tiến hành kỹ thuật mạng xã hội sâu hơn, với các cuộc tấn công cũng sử dụng một số miền bị xâm phạm làm công cụ chuyển hướng URL trung gian để đưa nạn nhân đến trang đích cuối cùng.
Chuỗi tấn công liên quan đến việc gửi email hết hạn mật khẩu đến các mục tiêu tiềm năng có chứa liên kết độc hại được nhúng để được cho là “mở rộng quyền truy cập của bạn”, thao tác nhấn sẽ đưa người nhận mở các trang chuyển hướng của Google Ads và Snapchat để tải URL trang lừa đảo.
Bên cạnh lạm dụng chuyển hướng mở, biến thể thứ hai của các cuộc tấn công dựa vào các trang web bị nhiễm độc có chứa phiên bản được mã hóa Base64 của trình chuyển hướng giai đoạn tiếp theo và địa chỉ email của nạn nhân trong URL. Trình chuyển hướng trung gian này là một mã JavaScript trỏ đến một trang lừa đảo trong Gmail.
Trong một trường hợp được Zscaler đánh dấu, trang chuyển hướng được sử dụng trong cuộc tấn công lừa đảo Microsoft AiTM vào ngày 11 tháng 7 năm 2022, đã được cập nhật để đưa người dùng đến trang lừa đảo Gmail AiTM vào ngày 16 tháng 7 năm 2022, kết nối hai chiến dịch với cùng một tác nhân đe dọa .
Các nhà nghiên cứu cho biết: “Cũng có sự chồng chéo về cơ sở hạ tầng và chúng tôi thậm chí đã xác định được một số trường hợp trong đó kẻ đe dọa chuyển từ lừa đảo Microsoft AiTM sang lừa đảo Gmail bằng cách sử dụng cùng một cơ sở hạ tầng”.
Các phát hiện cho thấy chỉ riêng các biện pháp bảo vệ xác thực đa yếu tố không thể cung cấp biện pháp bảo vệ chống lại các cuộc tấn công lừa đảo nâng cao, đòi hỏi người dùng phải xem xét kỹ lưỡng các URL trước khi nhập thông tin đăng nhập và không mở tệp đính kèm hoặc nhấp vào liên kết trong email được gửi từ các nguồn không đáng tin cậy hoặc không xác định.
.
