Ngày 14 tháng 3 năm 2023Ravie LakshmananThông tin tình báo về mối đe dọa / Tấn công mạng
Bộ công cụ lừa đảo đối thủ ở giữa (AiTM) mã nguồn mở đã tìm thấy một số kẻ tham gia trong thế giới tội phạm mạng nhờ khả năng dàn xếp các cuộc tấn công trên quy mô lớn.
Microsoft Threat Intelligence đang theo dõi tác nhân đe dọa đằng sau sự phát triển của bộ công cụ dưới biệt danh mới nổi của nó DEV-1101.
Một cuộc tấn công lừa đảo AiTM thường liên quan đến việc kẻ đe dọa cố gắng đánh cắp và chặn mật khẩu và cookie phiên của mục tiêu bằng cách triển khai máy chủ proxy giữa người dùng và trang web.
Các cuộc tấn công như vậy hiệu quả hơn nhờ khả năng phá vỡ các biện pháp bảo vệ xác thực đa yếu tố (MFA).
DEV-1101, theo gã khổng lồ công nghệ, được cho là bên đứng sau một số bộ dụng cụ lừa đảo mà các phần tử tội phạm khác có thể mua hoặc thuê, do đó giảm nỗ lực và nguồn lực cần thiết để khởi động chiến dịch lừa đảo.
Microsoft cho biết trong một báo cáo kỹ thuật: “Việc những kẻ tấn công có thể mua các bộ công cụ lừa đảo như vậy là một phần của quá trình công nghiệp hóa nền kinh tế tội phạm mạng và hạ thấp rào cản xâm nhập của tội phạm mạng”.
Nền kinh tế dựa trên dịch vụ thúc đẩy các dịch vụ như vậy cũng có thể dẫn đến hành vi trộm cắp kép, trong đó thông tin đăng nhập bị đánh cắp được gửi đến cả nhà cung cấp dịch vụ lừa đảo cũng như khách hàng của họ.
Bộ nguồn mở từ DEV-1101 đi kèm với các tính năng cho phép thiết lập các trang đích lừa đảo bắt chước Microsoft Office và Outlook, chưa kể đến việc quản lý các chiến dịch từ thiết bị di động và thậm chí sử dụng kiểm tra CAPTCHA để tránh bị phát hiện.
Kể từ khi ra mắt lần đầu vào tháng 5 năm 2022, dịch vụ này đã trải qua một số cải tiến, trong đó nổi bật nhất là khả năng quản lý các máy chủ chạy bộ thông qua bot Telegram. Nó hiện có giá 300 đô la cho phí cấp phép hàng tháng, với giấy phép VIP có giá 1.000 đô la.
Microsoft cho biết họ đã phát hiện nhiều chiến dịch lừa đảo có khối lượng lớn với hàng triệu email lừa đảo mỗi ngày từ nhiều tác nhân khác nhau sử dụng công cụ này.
Điều này bao gồm một cụm hoạt động có tên là DEV-0928 mà Redmond mô tả là một trong những “người bảo trợ nổi bật hơn của DEV-1101” và đã được liên kết với một chiến dịch lừa đảo bao gồm hơn một triệu email kể từ tháng 9 năm 2022.
Trình tự tấn công bắt đầu với các email có chủ đề tài liệu chứa liên kết đến tài liệu PDF, khi được nhấp vào, sẽ hướng người nhận đến trang đăng nhập giả dạng là cổng đăng nhập của Microsoft, nhưng không phải trước khi thúc giục nạn nhân hoàn thành bước CAPTCHA.
“Việc chèn một trang CAPTCHA vào trình tự lừa đảo có thể khiến các hệ thống tự động khó truy cập trang lừa đảo cuối cùng hơn, trong khi con người có thể dễ dàng nhấp qua trang tiếp theo”, Microsoft cho biết.
Mặc dù các cuộc tấn công AiTM này được thiết kế để vượt qua MFA, nhưng điều quan trọng là các tổ chức phải áp dụng các phương pháp xác thực chống lừa đảo, chẳng hạn như sử dụng khóa bảo mật FIDO2, để chặn các nỗ lực đăng nhập đáng ngờ.
