Tin tặc đang sử dụng biểu mẫu google để nhắm mục tiêu vào các công ty bán lẻ, viễn thông, chăm sóc sức khỏe, năng lượng và sản xuất trong một chiến dịch do thám rõ ràng để xác định mục tiêu cho cuộc tấn công xâm nhập email doanh nghiệp tiếp theo.
Sherrod DeGrippo – Giám đốc cấp cao về nghiên cứu và phát hiện mối đe dọa tại Proofpoint cho biết: “Thật không may, các dịch vụ cảu Google thường bị lạm dụng để phát tán mã độc, lừa đảo thông tin xác thực và trong trường hợp này là một phần của hành vi gian lận email. Google thường là nguồn đáng tin cậy trong nhiều tỏ chức, vì vậy các tác nhân đe dọa tận dụng thiện chí đó trong các cuộc tấn công của họ”.
Các nhà nghiên cứu tại Proofpoint lưu ý rằng những kẻ tấn công đang tận dụng Biểu mẫu Google để vượt qua các bộ lọc bảo mật email dựa trên các từ khóa.
Chiến dịch này kết hợp với lợi ích của quy mô và tính hợp pháp bằng cách tận dụng các dịch vụ của Google với các cuộc tấn công kỹ thuật xã hội, thường được liên kết với BEC. Chúng tôi đã quan sát thấy hàng nghìn thông điệp chủ yếu được gửi đến các lĩnh vực bán lẻ, viễn thông, chăm sóc sức khỏe, năng lượng và sản xuất, những nhà nghiên cứu cho biết.
Proofpoint ban đầu phát hiện những kẻ tấn công sử dụng Biểu mẫu Google vào đầu tháng 12/2020, tuy nhiên, chiến thuật này không phải là mới và thường được quan sát thấy trong các chiến dịch lừa đảo thông tin xác thực. Sử dụng Biểu mẫu Google cho phép các diễn viên soạn và gửi email để tránh việc xâm nhập và thoát khỏi bộ lọc email.
Kỹ thuật tấn công
Proofpoint báo cáo rằng các email truyền tải cảm giác cấp bách và đối tượng là tên riêng của các giám đốc điều hành từ cấp C của một tổ chức bị nhắm mục tiêu cụ thể không có nỗ lực sử dụng giả mạo tên hiển thị.
Proofpoint lưu ý: Chúng yêu cầu “Quick Task” từ người dùng để đáp lại “diễn viên” tuyên bố đang chuẩn bị tham gia một cuộc họp hoặc quá bận để có thể xử lý nhiệm vụ bởi họ. Diễn viên lịch sự hỏi người dùng nếu họ có một chút thời gian, một người mở lời thông thường trong gian lận thẻ quà tặng.
Khi nạn nhân nhấp vào các liên kết trong email, nó sẽ dẫn đến một biểu mẫu mặc định, không có tiêu đề được lưu trữ trên cơ sở hạ tầng của Biều mẫu Google. Các nhà nghiên cứu lưu ý rằng mục tiêu chính của kẻ tấn công là gợi ra câu trả lời từ nạn nhân, với lý do là cuộc khảo sát bị đổ bể không như những gì họ mong đợi.
Các nhà nghiên cứu cho biết: Là một mục tiêu thứ yếu, biểu mẫu có thể đóng vai trò như một bộ cảm biết để xem liệu có ai điền vào biểu mẫu của họ không, hoạt động như một kỹ thuật do thám để loại bỏ những người dùng có thể dễ bị nhấp vào một liên kết đáng ngờ tìm thấy trong email.
Họ nói rằng những thông điệp này là một mối đe dọa vì việc phản hồi hoàn thành biểu mẫu lành tính có thể dẫn tới các hành động tiếp theo nhằm vào đối tượng dễ tiếp nhận hơn.
Với giả mạo C-suite, các nhà nghiên cứu cho rằng đây là một chiến dịch do thám email được thiết kế để cho phép lựa chọn mục tiêu cho một hoạt động đe dọa tiếp theo.
Các nhà nghiên cứu cho biết: giọng điệu khẩn cấp trong mỗi email nhất quán với các thành viên BEC trước đây và do đó, chúng tôi muốn đảm bảo nhận thức về bảo mật những nỗ lực này như một dấu hiệu hoặc cảnh báo cho khách hàng và cộng đồng bảo mật.
Kỹ thuật xã hội phổ biến trong các cuộc tấn công bằng email. Tuy nhiên nó được sử sụng trong phần mềm độc hại và lừa đảo thông tin xác thực trong các chiến dịch BEC.
Nguồn Bankinfosecurity
