Bài học rút ra chính
- Những kẻ tấn công đằng sau phần mềm độc hại đánh cắp mật khẩu đang sử dụng các phương pháp sáng tạo để khiến mọi người mở email độc hại.
- Những kẻ tấn công sử dụng hộp thư đến bị tấn công của một liên hệ để chèn các tệp đính kèm chứa đầy phần mềm độc hại vào các cuộc trò chuyện email đang diễn ra.
-
Các nhà nghiên cứu bảo mật đề xuất cuộc tấn công nhấn mạnh thực tế là mọi người không nên mở một cách mù quáng các tệp đính kèm, ngay cả những tệp từ các liên hệ đã biết.
Có vẻ kỳ lạ khi bạn của bạn nhảy vào một cuộc trò chuyện email với một tệp đính kèm mà bạn nửa mong đợi, nhưng nghi ngờ tính hợp pháp của thư có thể cứu bạn khỏi phần mềm độc hại nguy hiểm.
Cảnh sát bảo mật tại Zscaler đã chia sẻ thông tin chi tiết về các tác nhân đe dọa sử dụng các phương pháp mới nhằm tránh né phát hiện, để lưu hành phần mềm độc hại ăn cắp mật khẩu mạnh có tên Qakbot. Các nhà nghiên cứu an ninh mạng đã rất lo lắng về cuộc tấn công nhưng không ngạc nhiên bởi những kẻ tấn công đang cải tiến kỹ thuật của họ.
"Tội phạm mạng liên tục cập nhật các cuộc tấn công của chúng để cố gắng tránh bị phát hiện và cuối cùng là đạt được mục đích của chúng", Jack Chapman, Phó chủ tịch của Threat Intelligence tại Egress, nói với Lifewire qua email. "Vì vậy, ngay cả khi chúng tôi không biết cụ thể những gì họ sẽ thử tiếp theo, chúng tôi biết sẽ luôn có lần tiếp theo và các cuộc tấn công không ngừng phát triển."
Hacker hàng xóm thân thiện
Trong bài đăng của họ, Zscaler chạy qua các kỹ thuật gây nhiễu khác nhau mà những kẻ tấn công sử dụng để khiến nạn nhân mở email của họ.
Điều này bao gồm việc sử dụng tên tệp hấp dẫn với các định dạng phổ biến, chẳng hạn như. ZIP, để lừa nạn nhân tải xuống các tệp đính kèm độc hại.
Làm xáo trộn phần mềm độc hại đã là một chiến thuật phổ biến trong nhiều năm nay, Chapman chia sẻ, cho biết họ đã thấy các cuộc tấn công ẩn trong nhiều loại tệp khác nhau, bao gồm cả PDF và mọi loại tài liệu Microsoft Office.
"Các cuộc tấn công mạng tinh vi được thiết kế để có cơ hội tốt nhất có thể đạt được mục tiêu của chúng," Chapman nói.
Thật thú vị, Zscaler lưu ý rằng các tệp đính kèm độc hại được chèn vào làm thư trả lời trong chuỗi email đang hoạt động. Một lần nữa Chapman không ngạc nhiên bởi kỹ thuật xã hội phức tạp trong các cuộc tấn công này. Chapman chia sẻ: "Một khi cuộc tấn công đã đạt được mục tiêu, tội phạm mạng cần chúng thực hiện hành động - trong trường hợp này là mở tệp đính kèm email".
Keegan Keplinger, Trưởng nhóm Nghiên cứu và Báo cáo tại eSentire, người đã phát hiện và chặn hàng chục sự cố chiến dịch Qakbot chỉ trong tháng 6, cũng chỉ ra việc sử dụng hộp thư đến email bị xâm phạm là điểm nổi bật của cuộc tấn công.
"Phương pháp của Qakbot bỏ qua kiểm tra độ tin cậy của con người và người dùng có nhiều khả năng tải xuống và thực thi tải trọng hơn, vì nghĩ rằng đó là từ một nguồn đáng tin cậy", Keplinger nói với Lifewire qua email.
Adrien Gendre, Giám đốc Công nghệ và Sản phẩm tại Vade Secure, chỉ ra rằng kỹ thuật này cũng đã được sử dụng trong các cuộc tấn công Emotet vào năm 2021.
"Người dùng thường được đào tạo để tìm kiếm các địa chỉ email giả mạo, nhưng trong trường hợp như vậy, việc kiểm tra địa chỉ của người gửi sẽ không hữu ích vì đó là địa chỉ hợp pháp, mặc dù bị xâm phạm", Gendre nói với Lifewire trong một thảo luận qua email.
Sự tò mò đã giết chết con mèo
Chapman nói rằng ngoài việc tận dụng mối quan hệ sẵn có và lòng tin được xây dựng giữa những người có liên quan, việc kẻ tấn công sử dụng các loại tệp và phần mở rộng phổ biến dẫn đến việc người nhận ít nghi ngờ hơn và có nhiều khả năng mở các tệp đính kèm này hơn.
Paul Baird, Giám đốc An ninh Kỹ thuật Vương quốc Anh tại Qualys, lưu ý rằng mặc dù công nghệ có thể ngăn chặn các loại tấn công này, nhưng một số sẽ luôn lọt qua. Anh ấy gợi ý rằng giữ cho mọi người nhận thức được các mối đe dọa hiện tại bằng ngôn ngữ mà họ sẽ hiểu là cách duy nhất để hạn chế sự lây lan.
"Người dùng nên cẩn thận và được đào tạo, rằng ngay cả một địa chỉ email đáng tin cậy cũng có thể độc hại nếu bị xâm phạm", Gendre đồng ý. "Điều này đặc biệt đúng khi email bao gồm liên kết hoặc tệp đính kèm."
Gendre đề nghị mọi người nên đọc kỹ email của họ để đảm bảo rằng người gửi đúng như họ. Anh ấy chỉ ra rằng các email được gửi từ các tài khoản bị xâm nhập thường ngắn và đi kèm với các yêu cầu rất thẳng thừng, đó là lý do chính đáng để gắn cờ email là đáng ngờ.
Thêm vào điều này, Baird chỉ ra rằng các email do Qakbot gửi thường sẽ được viết khác khi so sánh với các cuộc trò chuyện bạn thường có với các liên hệ của mình, điều này sẽ đóng vai trò như một dấu hiệu cảnh báo khác. Trước khi tương tác với bất kỳ tệp đính kèm nào trong một email đáng ngờ, Baird khuyên bạn nên kết nối với người liên hệ bằng một kênh riêng để xác minh tính xác thực của thư.
"Nếu bạn nhận được bất kỳ email nào [có] tệp mà [bạn] không mong đợi, thì đừng nhìn vào chúng," là lời khuyên đơn giản của Baird. "Cụm từ 'Sự tò mò đã giết chết con mèo' áp dụng cho bất kỳ thứ gì bạn nhận được qua email."
