GitHub, Telegram Bot và mã QR bị lạm dụng trong làn sóng tấn công lừa đảo mới
Nhà nghiên cứu Jacob Malimban tới từ hãng bảo mật Cofense (Mỹ) cho biết: “Trong chiến dịch này, những kẻ tấn công đã sử dụng các kho lưu trữ đáng tin cậy để phát tán phần mềm độc hại, đây là phương pháp tương đối mới so với việc các tác nhân đe dọa tạo ra các kho lưu trữ GitHub độc hại của riêng họ”.
Trọng tâm của chuỗi tấn công là việc lạm dụng cơ sở hạ tầng GitHub để phân phối các payload độc hại. Một biến thể của kỹ thuật này, lần đầu tiên được các nhà nghiên cứu OALABS Research tiết lộ vào tháng 3/2024, trong đó các tin tặc đã mở một issue GitHub (một tính năng cho phép người dùng báo cáo sự cố, đề xuất các tính năng mới hoặc thảo luận về bất kỳ chủ đề nào liên quan đến dự án phần mềm) trên các kho lưu trữ nổi tiếng và tải lên đó một payload độc hại, sau đó đóng issue mà không lưu lại.
Khi thực hiện như vậy, các nhà nghiên cứu phát hiện ra rằng phần mềm độc hại được tải lên vẫn tồn tại ngay cả khi issue không bao giờ được lưu, một phương thức dễ bị lợi dụng vì nó cho phép kẻ tấn công tải lên bất kỳ tệp nào chúng chọn và không để lại bất kỳ dấu vết nào ngoại trừ liên kết đến chính tệp đó.
Phương pháp này đã được sử dụng để đánh lừa người dùng tải xuống trình tải phần mềm độc hại Lua có khả năng duy trì lâu dài trên các hệ thống bị lây nhiễm và phân phối thêm các phần mềm độc hại khác.
Chiến dịch lừa đảo được Cofense phát hiện sử dụng một chiến thuật tương tự, điểm khác biệt duy nhất là nó sử dụng các bình luận (comment) GitHub để đính kèm một tệp (tức là phần mềm độc hại), sau đó bình luận này sẽ bị xóa. Giống như trong trường hợp đã đề cập ở trên, liên kết vẫn hoạt động và được phát tán qua email lừa đảo.
Phân phối phần mềm độc hại qua email lừa đảo
“Email có liên kết đến GitHub có hiệu quả trong việc vượt qua giải pháp bảo vệ email Secure Email Gateway (SEG) vì GitHub thường là một tên miền đáng tin cậy. Liên kết GitHub cho phép kẻ tấn công liên kết trực tiếp đến kho lưu trữ phần mềm độc hại trong email mà không cần phải sử dụng Google chuyển hướng, mã QR hoặc các kỹ thuật vượt qua SEG khác”, Malimban cho biết.
Sự phát triển này diễn ra khi hãng bảo mật Barracuda Networks (Mỹ) tiết lộ những phương pháp mới được những kẻ tấn công áp dụng, bao gồm mã QR dựa trên ASCII và Unicode cũng như URL blob như một cách để khiến việc chặn nội dung độc hại và phát hiện trở nên khó khăn hơn.
Nhà nghiên cứu bảo mật Ashitosh Deshnur cho biết: “URI blob được trình duyệt sử dụng để biểu diễn dữ liệu nhị phân hoặc các đối tượng giống tệp (gọi là blob) được lưu trữ tạm thời trong bộ nhớ của trình duyệt. URI blob cho phép các nhà phát triển web làm việc với dữ liệu nhị phân như hình ảnh, video hoặc tệp trực tiếp trong trình duyệt mà không cần phải gửi hoặc truy xuất dữ liệu đó từ máy chủ bên ngoài”.
Bên cạnh đó, nghiên cứu mới đây từ công ty an ninh mạng ESET (Slovakia) cho thấy những kẻ tấn công phát triển bộ công cụ Telekopye Telegram đã mở rộng mục tiêu để nhắm vào các nền tảng đặt phòng trực tuyến như Booking[.]com và Airbnb, với sự gia tăng mạnh các hoạt động được phát hiện vào tháng 7/2024.
Các cuộc tấn công này đặc trưng bởi việc sử dụng tài khoản bị xâm phạm của các khách sạn để liên hệ với các mục tiêu tiềm năng, nêu ra các vấn đề liên quan đến thanh toán đặt phòng và đánh lừa nạn nhân nhấp vào liên kết giả mạo, yêu cầu họ nhập thông tin tài chính của mình.
“Bằng cách sử dụng quyền truy cập vào các tài khoản này, những kẻ tấn công sẽ chọn ra những người dùng vừa mới đặt phòng và chưa thanh toán hoặc thanh toán rất gần đây và liên hệ với họ qua tính năng trò chuyện trên nền tảng”, các nhà nghiên cứu bảo mật Jakub Souček và Radek Jizba cho biết.
Điều này khiến các vụ việc lừa đảo khó phát hiện hơn nhiều, vì thông tin được cung cấp có liên quan trực tiếp đến nạn nhân, được gửi qua nhiều kênh và các trang web giả mạo được liên kết trông giống như thông tin dự kiến.
Vào tháng 12/2023, các quan chức thực thi pháp luật Cộng hòa Séc và Ukraine đã thông báo bắt giữ một số tội phạm mạng bị cáo buộc đã sử dụng bot Telegram độc hại. “Các lập trình viên đã tạo ra, cập nhật, bảo trì và cải thiện chức năng của bot Telegram và các công cụ lừa đảo, cũng như đảm bảo tính ẩn danh của đồng phạm trên Internet và chia sẻ về việc che giấu hoạt động tội phạm”, Cảnh sát Cộng hòa Séc cho biết trong một tuyên bố vào thời điểm đó.
Vũ Mạnh Hà
(The Hacker News)