Các nhà nghiên cứu bảo mật tại Microsoft đã cảnh báo các tổ chức về một chiến dịch lừa đảo mới, họ đã theo dõi hoạt động nơi các biểu mẫu liên hệ được công bố trên các trang web bị lợi dụng để gửi các liên kết độc hại đến các tổ chức thông qua email chứa các mối đe dọa pháp lý giả mạo. 

Security365 – Trung Tâm Đào Tạo Trực Tuyến Hacker Thiện Chí & Điều Tra Viên Máy Tính theo chuẩn ANSI của NSA và Bộ Quốc Phòng Mỹ

Các email hướng người nhận nhấp vào một liên kết để xem xét các bằng chứng được cho là đằng sau các cáo buộc của họ, nhưng thay vào đó lại dẫn đến việc tải xuống IcedID, một phần mềm độc hại đánh cắp thông tin. Microsoft Defender cho Office 365 xác định và chặn các email này trong khi bảo vệ doanh nghiệp khỏi mối đe dọa này.

Như một biện pháp phòng ngừa, Microsoft đã báo cáo mối đe dọa cho các nhóm bảo mật của Google để cảnh báo họ rằng những kẻ đe dọa đang sử dụng các URL hợp pháp của Google để gửi phần mềm độc hại. Các URL của Google rất hữu ích đối với những kẻ tấn công vì chúng sẽ vượt qua các bộ lọc bảo mật email. Có vẻ như, những kẻ tấn công cũng đã vượt qua các thử thách CAPTCHA được sử dụng để kiểm tra xem việc gửi liên hệ có phải từ con người hay không.

“Những kẻ tấn công đang lạm dụng cơ sở hạ tầng hợp pháp, chẳng hạn như biểu mẫu liên hệ của các trang web, để vượt qua các biện pháp bảo vệ, khiến mối đe dọa này rất dễ lẩn tránh. Bên cạnh đó, những kẻ tấn công sử dụng các URL hợp pháp, trong trường hợp này là các URL của Google yêu cầu mục tiêu đăng nhập bằng thông tin đăng nhập Google của chúng”, Nhóm thông minh về mối đe dọa của Bộ bảo vệ Microsoft 365 đã nêu. 
Microsoft cảm thấy phiền lòng vì phương pháp mà các kẻ đe dọa sử dụng để đánh cắp thông tin và hiện đã phát hiện ra bọn tội phạm sử dụng các URL trong email để gửi phần mềm độc hại IcedID. Tuy nhiên, nó có thể dễ dàng được sử dụng để phân phối các phần mềm độc hại khác.

IcedID là phần mềm độc hại đánh cắp thông tin kết nối với máy chủ điều khiển và chỉ huy để tải xuống các mô-đun thực hiện các chức năng như đánh cắp thông tin xác thực ngân hàng và các dữ liệu khác. Nó đạt được sự bền bỉ và tải xuống các công cụ bổ sung cho phép những kẻ tấn công từ xa theo đuổi các hành động độc hại khác trên hệ thống mục tiêu, bao gồm hành vi trộm cắp thông tin xác thực, di chuyển ngang và cung cấp các tải trọng bổ sung.

Security365 – Trung Tâm Đào Tạo Trực Tuyến Hacker Thiện Chí & Điều Tra Viên Máy Tính theo chuẩn ANSI của NSA và Bộ Quốc Phòng Mỹ

“Chúng tôi đã cảnh báo các nhóm bảo mật tại Google chú ý đến mối đe dọa này vì nó lợi dụng các URL của Google. Chúng tôi đã quan sát thấy một loạt các email biểu mẫu liên hệ nhắm vào các doanh nghiệp bằng cách lạm dụng biểu mẫu liên hệ của các công ty. Điều này cho thấy những kẻ tấn công có thể đã sử dụng một công cụ tự động hóa quy trình này trong khi phá vỡ các biện pháp bảo vệ CAPTCHA. Vì các email có nguồn gốc từ biểu mẫu liên hệ của chính người nhận trên trang web của họ, các mẫu email phù hợp với những gì họ mong đợi từ một tương tác hoặc yêu cầu thực tế của khách hàng “, Microsoft lưu ý thêm.