Các nhà nghiên cứu cảnh báo về sự gia tăng các cuộc tấn công lừa đảo bằng cách sử dụng mạng IPFS phi tập trung

Mạng IPFS phi tập trung

Các nhà nghiên cứu đã cảnh báo rằng giải pháp hệ thống tệp phi tập trung được gọi là IPFS đang trở thành “điểm nóng” mới để lưu trữ các trang web lừa đảo.

Công ty bảo mật mạng Trustwave SpiderLabs, công ty đã tiết lộ chi tiết cụ thể của các chiến dịch tấn công, cho biết họ đã xác định được không dưới 3.000 email chứa URL IPFS là một vectơ tấn công trong ba tháng qua.

IPFS, viết tắt của InterPlanetary File System, là một mạng ngang hàng (P2P) để lưu trữ và chia sẻ các tệp và dữ liệu bằng cách sử dụng hàm băm mật mã, thay vì URL hoặc tên tệp, như được quan sát trong cách tiếp cận máy khách-máy chủ truyền thống. Mỗi hàm băm tạo cơ sở cho một mã định danh nội dung duy nhất (CID).

Ý tưởng là tạo ra một hệ thống tệp phân tán có khả năng phục hồi cho phép dữ liệu được lưu trữ trên nhiều máy tính. Điều này sẽ cho phép thông tin được truy cập mà không cần phải phụ thuộc vào các bên thứ ba như các nhà cung cấp dịch vụ lưu trữ đám mây, giúp nó có khả năng chống kiểm duyệt một cách hiệu quả.

Các nhà nghiên cứu Karla Agregado và Katrina Udquin của Trustwave cho biết: “Việc gỡ bỏ nội dung lừa đảo được lưu trữ trên IPFS có thể khó khăn vì ngay cả khi nó bị xóa ở một nút, nó vẫn có thể tồn tại trên các nút khác”.

Xem tiếp:   Tin tặc Palestine sử dụng Cấy ghép NimbleMamba mới trong các cuộc tấn công gần đây

Vấn đề phức tạp hơn nữa là thiếu Mã định danh tài nguyên đồng nhất tĩnh (URI) có thể được sử dụng để định vị và chặn một phần nội dung chứa đầy độc hại. Điều này cũng có nghĩa là việc gỡ bỏ các trang web lừa đảo được lưu trữ trên IPFS có thể khó hơn nhiều.

Các cuộc tấn công mà Trust quan sát được thường liên quan đến một số loại kỹ thuật xã hội để hạ thấp sự bảo vệ của các mục tiêu nhằm dụ họ nhấp vào các liên kết IPFS gian lận và kích hoạt các chuỗi lây nhiễm.

Các miền này nhắc nạn nhân tiềm năng nhập thông tin đăng nhập của họ để xem tài liệu, theo dõi gói hàng trên DHL hoặc gia hạn đăng ký Azure của họ, chỉ để hút địa chỉ email và mật khẩu vào một máy chủ từ xa.

Các nhà nghiên cứu cho biết: “Với sự bền bỉ của dữ liệu, mạng mạnh mẽ và ít quy định, IPFS có lẽ là một nền tảng lý tưởng cho những kẻ tấn công lưu trữ và chia sẻ nội dung độc hại”.

Phát hiện này được đưa ra trong bối cảnh mối đe dọa qua email có sự thay đổi lớn hơn, với kế hoạch chặn các macro của khiến các tác nhân đe dọa phải điều chỉnh chiến thuật của họ để phân phối các tệp thực thi có thể dẫn đến do thám theo dõi, đánh cắp dữ liệu và ransomware.

Xem tiếp:   Các chuyên gia cảnh báo về nhóm tấn công nhắm mục tiêu vào lĩnh vực hàng không và quốc phòng

Nhìn dưới góc độ đó, việc sử dụng IPFS đánh dấu một bước tiến hóa khác trong lừa đảo, mang đến cho những kẻ tấn công một sân chơi sinh lợi khác để thử nghiệm.

Các nhà nghiên cứu kết luận: “Các kỹ thuật lừa đảo đã có một bước nhảy vọt khi sử dụng khái niệm về các dịch vụ đám mây phi tập trung sử dụng IPFS”.

“Những kẻ gửi thư rác có thể dễ dàng ngụy trang các hoạt động của họ bằng cách lưu trữ nội dung của họ trong các dịch vụ lưu trữ web hợp pháp hoặc sử dụng nhiều kỹ thuật chuyển hướng URL để ngăn cản các máy quét bằng cách sử dụng danh tiếng URL hoặc phân tích URL tự động.”

Hơn nữa, những thay đổi này cũng đi kèm với việc sử dụng các bộ công cụ lừa đảo có sẵn – một xu hướng được gọi là phishing-as-a-service (PhaaS) – cung cấp một phương tiện nhanh chóng và dễ dàng cho các tác nhân đe dọa thực hiện các cuộc tấn công qua email và tin nhắn SMS.

Thật vậy, một chiến dịch quy mô lớn được phát hiện vào tháng trước đã được quan sát bằng cách sử dụng nền tảng PhaaS bốn tháng tuổi có tên là Robin Banks để cướp thông tin xác thực và đánh cắp thông tin tài chính từ khách hàng của các ngân hàng nổi tiếng ở Úc, Canada, Anh và Mỹ, Công ty an ninh mạng IronNet đã tiết lộ trong tuần này.

Xem tiếp:   Ứng dụng của bên thứ 3 có phải là tệp thực thi mới không?

“Trong khi động cơ chính để những kẻ lừa đảo sử dụng bộ công cụ này dường như là tài chính, bộ công cụ cũng yêu cầu nạn nhân cung cấp thông tin đăng nhập Google và Microsoft của họ sau khi họ truy cập trang đích lừa đảo. Các nhà nghiên cứu cho biết: truy cập ban đầu vào các mạng công ty để tìm ransomware hoặc các hoạt động sau xâm nhập khác.

.

Related Posts

Check Also

Nhà phát triển tiền mặt Tornado bị bắt sau lệnh trừng phạt của Hoa Kỳ Máy trộn tiền điện tử

Các nhà chức trách Hà Lan hôm thứ Sáu đã thông báo về việc bắt …