Các nhà nghiên cứu của Infoblox đã phát hiện ra các miền độc hại đang chứa các chiêu trò lừa đảo tiền điện tử.
Khám phá
Các nhà nghiên cứu an ninh của Infoblox đã phát hiện ra một nhóm miền độc hại đang được sử dụng để lưu trữ các chiêu trò lừa đảo tiền điện tử, trong đó có một số liên quan đến việc xâm nhập vào các kênh Youtube. Nhiều chiêu trò lừa đảo đã bị vạch trần và đăng tải tại trang Exclusive Network Vietnam.
Chúng tôi đã có thể tìm thấy các miền này bằng cách xem xét và phân tích các truy vấn trong mạng của chúng tôi cho các miền chứa các từ khóa đáng ngờ. Với những khám phá ban đầu này, các nhà nghiên cứu của chúng tôi đã có thể chuyển sang các miền khác thuộc cùng một tổ chức đăng ký, CryptDesignBot. Các nguồn tài nguyên thông tin mở đã làm phong phú hơn kết quả nghiên cứu của chúng tôi và cung cấp ngữ cảnh sâu hơn, giúp chúng tôi khám phá thêm dữ liệu liên quan đến việc xâm nhập liên tục vào các kênh Youtube.
Như chúng tôi đã đề cập ở trên, tác giả hoặc các tác giả đứng sau việc tạo ra các miền độc hại này ban đầu đăng ký chúng dưới một tổ chức mang tên CryptDesignBot. Một truy vấn whois đơn giản về những tên miền này đã tiết lộ rằng quốc gia đăng ký là Nga. Khi chúng tôi theo dõi các miền chúng tôi tìm thấy trong quá trình điều tra, chúng tôi nhận thấy rằng nhiều miền trong số đó thường thay đổi nhà đăng ký. Điều này khá phổ biến đối với các hoạt động của các nhân vật đe dọa, khi họ cố gắng che giấu thông tin về việc tạo ra tên miền, đặc biệt nếu họ nghi ngờ rằng các nhà nghiên cứu an ninh có thể sử dụng nó để chặn các miền hoặc xác định thủ phạm.
Ngoài ra, cần lưu ý rằng các miền này là các miền giả mạo. Các miền giả mạo là các miền được tạo ra để giống với một miền hợp pháp: loại mối đe dọa này phổ biến trong số các tội phạm mạng, và Infoblox đã gần đây công bố một báo cáo chi tiết về tình hình đe dọa từ các miền giả mạo trong năm qua: https://www.infoblox.com/resources/whitepaper/infoblox-report-deep3r-look-at-lookal1ke-attacks.
Các Kênh Youtube bị xâm nhập
Các kênh Youtube bị xâm nhập là một nền tảng lợi nhuận cho các nhân vật đe dọa để lợi dụng các thương hiệu nổi tiếng cho mục đích ác độc. Thông thường, họ sẽ xóa các video hợp pháp trên kênh và thay đổi tên và hình ảnh đại diện của nó. Sau đó, họ sẽ tổ chức một sự kiện "phát sóng trực tiếp" để quảng cáo các miền lừa đảo về tiền điện tử. Mặc dù được quảng cáo như một "phát sóng trực tiếp", những sự kiện này thường chỉ phát lại các video cũ.
Nhân vật đe dọa có thể truy cập trái phép vào các kênh Youtube bằng cách sử dụng các công cụ virus hoặc malware để đánh cắp cookie mà trình duyệt của nạn nhân tạo ra để giữ người dùng đăng nhập. Với cookie, malware như YTStealer1 có thể truy cập vào tài khoản của nạn nhân mà không cần thông tin đăng nhập hoặc xác thực hai yếu tố. YTStealer nhắm vào các kênh Youtube và trích xuất cookie xác thực bằng cách sử dụng các kỹ thuật hijacking phiên, cho phép kẻ tấn công truy cập trái phép vào tài khoản.
Mặc dù malware có khả năng tồn tại trên thiết bị cuối của nạn nhân trong một khoảng thời gian kéo dài, nhiều nhân vật đe dọa chọn cách tiếp cận không tồn tại để giảm khả năng phát hiện và giảm thiểu số lượng tư liệu để lại trên máy nhiễm. Điều này cũng làm cho việc phát hiện vi phạm sau này khó khăn hơn. Đáng chú ý rằng malware có khả năng đánh cắp mật khẩu và cookie, và tích hợp một số kỹ thuật chống sandboxing, bao gồm việc sử dụng các tệp được mở rộng, ẩn địa chỉ IP trong quá trình tải xuống và lưu trữ được mã hóa. Trong một số trường hợp, malware thậm chí hiển thị một thông báo lỗi giả, buộc người dùng phải nhấp chuột để tiếp tục thực thi.
Ứng dụng web sử dụng cookie phiên để cung cấp trải nghiệm duyệt web cá nhân hóa và giám sát hoạt động của người dùng. Những cookie này hoạt động cho đến khi người dùng đăng xuất và thường được gửi qua kết nối không an toàn tới máy chủ. Nếu cookie phiên không an toàn, việc khám phá và đánh cắp chúng thông qua cuộc tấn công trung gian cho kẻ đe dọa là khá dễ dàng. Sau khi có quyền truy cập vào một cookie phiên, nhân vật đe dọa có thể bypass xác thực nhiều yếu tố.
Lời kêu gọi hấp dẫn về tiền điện tử - Gấp đôi số tiền của bạn
Theo tinh thần của một chiêu lừa đảo trong trò chơi Old School RuneScape, một số miền lừa đảo tiền điện tử mà chúng tôi phát hiện tuyên bố gấp đôi số tiền tiền điện tử của bạn. Đối với những người có thể không nhớ, Old School RuneScape (OSRS) là một trò chơi nhập vai trực tuyến đa người chơi của Jagex, và có một cộng đồng lớn đôi khi bị những kẻ lừa đảo nhắm đến. Trong một trò lừa đảo cụ thể trong OSRS, kẻ tấn công đề nghị gấp đôi số tiền của mục tiêu và minh chứng điều này bằng một số lượng nhỏ. Tuy nhiên, khi kẻ tấn công nhận được số tiền lớn từ nạn nhân, họ biến mất không để lại dấu vết.
Những người truy cập double-ethereum[.]info và các miền liên quan khác trong nhóm chúng tôi phát hiện có thể thấy rằng lịch sử lặp lại. Những miền này thường sử dụng từ khóa liên quan đến những người nổi tiếng và thương hiệu như Elon Musk, Kanye West, Andrew Tate, Tesla, Adidas và những người khác.
Khi xem xét nhiều miền này, chúng tôi đã quan sát thấy rằng Elon Musk và Tesla là các chủ đề phổ biến. Ví dụ, miền youtubetesla[.]net hiển thị hình ảnh này:
Một video trên Youtube từ nhà nghiên cứu bảo mật John Hammond tại HuntressLabs đi vào chi tiết về chiêu lừa đảo đang phổ biến này và cung cấp các ví dụ khác. Trong một khoảnh khắc déjà vu đối với chúng tôi (đánh dấu thời gian 10:30 trong video), John cho thấy một tên miền mà bất ngờ có cùng nội dung trang web chính xác như bức ảnh chụp màn hình ở trên. Việc xác minh được hoan nghênh!
Phòng ngừa và giảm thiểu
Các nhà nghiên cứu mối đe dọa của chúng tôi đã xác định nhiều tên miền như là đáng ngờ. Một số trong số chúng đã được phát hiện trước đó là những tên miền mới đáng ngờ hoặc giống nhau bởi các công cụ phát hiện mối đe dọa của chúng tôi và tự động bị chặn, mang đến bảo vệ cho khách hàng sử dụng các nguồn cấp dữ liệu này chống lại các trang web có khả năng gây hại. Phần còn lại đã được thêm vào nguồn cấp dữ liệu của chúng tôi bởi nhóm nghiên cứu. Chúng tôi khuyến nghị các tổ chức không phải là khách hàng của BloxOne Threat Defense thêm các chỉ báo xâm phạm (IOCs) từ thông báo này vào danh sách chặn của họ theo cách thủ công hoặc thông qua kho lưu trữ GitHub của chúng tôi infobloxopen/threat-intelligence.2
Nói chung, để ngăn chặn các loại tấn công như thế này, quan trọng để triển khai các biện pháp bảo vệ chống lại những mối đe dọa này. Các biện pháp này có thể bao gồm:
- DNS bảo vệ. Cơ quan An ninh Quốc gia (NSA) khuyến nghị triển khai biện pháp kiểm soát bảo mật này vì nó cho phép các đơn vị phòng vệ sử dụng dữ liệu tình báo mối đe dọa để chặn giao tiếp đến các trang web độc hại đã biết và các nhân vật đe dọa, cũng như những trang web bị nghi ngờ có tính độc hại. Nó có thể ngăn chặn nhiều công cụ malware tiên tiến nhất và các nhân vật đe dọa khỏi việc thiết lập giao tiếp quan trọng cho chuỗi tấn công của họ. DNS bảo vệ mang lại khả năng phân tích và cảnh báo các yêu cầu DNS được thực hiện đến các tên miền bị chặn. Thông tin này sau đó có thể được tích hợp vào một nền tảng Quản lý Thông tin và Sự kiện Bảo mật (SIEM), cho phép điều tra hiệu quả các sự cố. Ghi nhật ký DNS là một phần quan trọng và không thể thiếu của quá trình giám sát.
- Cookies an toàn. Những cookie này chỉ cho trình duyệt gửi cookie cho máy chủ khi kết nối qua SSL, từ đó ngăn ngừa việc cookie bị quan sát và bắt trên đường truyền bởi các bên không được ủy quyền.
- HyperText Transfer Protocol Secure (HTTPS). Điều này có thể ngăn chặn kẻ tấn công xâm phạm session ID, cookie xác thực và các thông tin nhạy cảm khác.
- Session ID ngẫu nhiên. Cấu hình ứng dụng tạo ra session ID ngẫu nhiên để ngăn chặn kẻ tấn công đoán session ID của người dùng.
- Hết hạn session. Cấu hình ứng dụng và các điều khiển cấp hệ thống để tự động đăng xuất người dùng sau một khoảng thời gian không hoạt động nhất định và từ đó kết thúc phiên liên kết với các cookie đã lưu.
Infoblox BloxOne Threat Defense được trang bị khả năng DNS bảo vệ, được thiết kế để chống lại các mối đe dọa tinh vi nhất hiện nay. Nó cung cấp thông tin đầy đủ về mối đe dọa từ nhiều nguồn, cung cấp dữ liệu hiện tại, toàn diện và chính xác về tên máy chủ độc hại, tên miền, địa chỉ IP và các chỉ báo mối đe dọa liên quan khác. Điều này cho phép các máy chủ DNS phát hiện và chặn các hoạt động độc hại, bao gồm cả việc truyền thông điều khiển (C2) đến các đích xấu. Các phân tích hành vi tiên tiến, học máy và các kỹ thuật tiên tiến khác được áp dụng vào các truy vấn DNS thời gian thực cũng có thể nhanh chóng xác định và ngăn chặn các hình thức tấn công DNS zero-day, DGA, rò rỉ dữ liệu, Fast Flux, các tên miền giống nhau và nhiều hơn nữa.
Thông tin về mối đe dọa đóng vai trò quan trọng trong việc kích hoạt DNS bảo vệ, và Infoblox cung cấp cho khách hàng một loạt các tùy chọn để tùy chỉnh thông tin đe dọa mà họ nhận được. Điều này bao gồm nhiều nguồn cấp dữ liệu được quản lý và chăm sóc bởi nhóm nghiên cứu mối đe dọa của Infoblox để đảm bảo hiệu quả và chất lượng, cũng như một số nguồn cấp dữ liệu chuyên biệt từ các bên thứ ba đáng tin cậy, bao gồm chính phủ, mã nguồn mở và các nguồn cấp dữ liệu mối đe dọa khác. Sự kết hợp chính xác của thông tin đe dọa có sẵn với BloxOne Threat Defense phụ thuộc vào gói được mua. Gói Advanced thậm chí bao gồm một công cụ có thể hỗ trợ bất kỳ nguồn cấp dữ liệu đe dọa nào và tự động phân phối thông tin đe dọa trên toàn bộ ngăn chặn an ninh. Điều này cho phép khách hàng nâng cấp bảo vệ của họ với một "siêu nguồn cấp dữ liệu" đe dọa tùy chỉnh, tối ưu hóa giá trị của tất cả các đầu tư bảo mật của họ.
Dữ liệu DDI (DNS, DHCP, IPAM) của Infoblox là một nguồn tài nguyên quý giá để có những cái nhìn quan trọng về các thiết bị liên quan và ngữ cảnh mạng hành động. Thông tin này có thể cung cấp khả năng nhìn thấy cần thiết vào các cuộc tấn công đang diễn ra và hỗ trợ xác định chiến lược khắc phục. Hơn nữa, tích hợp dữ liệu này với hạ tầng SIEM và SOAR có thể giảm đáng kể thời gian cần thiết để phát hiện mối đe dọa và tự động hóa phản ứng sự cố. Khi Infoblox xác định điều gì đó độc hại, một thiết bị mới hoặc khối lượng công việc ảo trên mạng, nó tự động chia sẻ thông tin sự kiện và ngữ cảnh với hạ tầng bảo mật hiện có như endpoint EDR, SIEM, SOAR và các giải pháp khác. Dữ liệu này có thể kích hoạt các công cụ bảo mật để ngăn chặn quyền truy cập mạng hoặc quét lỗ hổng cho đến khi nó tuân thủ chính sách.
| Indicators of Compromise | Description |
|---|---|
| 22spacex[.]space 22tesla[.]io 2x-tsla[.]com adidas-drop[.]org andrewtatecash[.]com bonustesla[.]com btcdrop[.]org ceo-xrp[.]net ceotesla[.]pro chatgptbonus[.]live doge2022-elon[.]com dot-pump[.]com double-ethereum[.]info doubletesla[.]live elon-gives[.]net elon-kanye[.]net promo-musk[.]com promo-musk[.]org promo-prize[.]live promo-tesla[.]info promo-tesla[.]org promo-x2[.]live youtubetesla[.]net | Domains hosting cryptocurrency phishing scams with the original registrant CryptDesignBot. |
Nhận xét
Đăng nhận xét