Các nhà nghiên cứu an ninh mạng ngày nay đã nêu bật một kỹ thuật lừa đảo lảng tránh mà những kẻ tấn công đang khai thác một cách hoang dã để nhắm mục tiêu vào những khách truy cập của một số trang web có tên miền không chính xác và tận dụng các biểu tượng yêu thích đã được sửa đổi để đưa vào máy đọc lướt điện tử và đánh cắp thông tin thẻ thanh toán một cách bí mật.
“Ý tưởng rất đơn giản và bao gồm việc sử dụng các ký tự trông giống nhau để lừa người dùng”, các nhà nghiên cứu của Malwarebytes cho biết vào thứ Năm phân tích. “Đôi khi các ký tự từ một bộ ngôn ngữ khác hoặc đơn giản là viết hoa chữ ‘i’ để làm cho nó xuất hiện như chữ thường ‘l’.”
Được gọi là một tên miền quốc tế hóa (IDN) tấn công homograph, kỹ thuật này đã được một nhóm Magecart sử dụng trên nhiều miền để tải bộ công cụ giảm béo Inter phổ biến ẩn bên trong một tập tin favicon.
Thủ thuật thị giác thường liên quan đến việc tận dụng sự tương đồng của các tập lệnh ký tự để tạo và đăng ký tên miền lừa đảo trong số những cái hiện có để đánh lừa người dùng không ngờ tới việc truy cập chúng và giới thiệu phần mềm độc hại vào các hệ thống đích.
Trong một số trường hợp, Malwarebytes phát hiện ra rằng các trang web hợp pháp (ví dụ: “xì gà.com”) đã bị hack và bị tiêm một đoạn mã vô hại tham chiếu một tệp biểu tượng tải một phiên bản sao chép của favicon từ trang web của decoy (“xì gà”[.]com “).
Favicon này được tải từ miền homoglyph sau đó đã được sử dụng để tiêm Trình đọc lướt JavaScript liên nắm bắt thông tin được nhập trên trang thanh toán và trích xuất các chi tiết đến cùng một miền được sử dụng để lưu trữ tệp biểu tượng yêu thích độc hại.
Thật thú vị, có vẻ như một tên miền giả mạo như vậy (“zoplm.com”) đã được đăng ký vào tháng trước trước đó đã được gắn với Magecart Group 8, một trong những nhóm hacker dưới sự bảo trợ của Magecart được liên kết với các cuộc tấn công lướt web trên NutriBONS, Gối của tôi, cũng như một số trang web thuộc sở hữu của một sàn giao dịch kim cương quốc gia.
Đặc biệt, vi phạm MyPillow đáng chú ý vì có những điểm tương đồng trong modus operandi, liên quan đến việc đưa JavaScript độc hại của bên thứ ba được lưu trữ trên “mypiltow.com”, một loại đồng âm của “mypillow.com”.
“Các diễn viên đe dọa thích tận dụng bất kỳ kỹ thuật nào sẽ cung cấp cho họ một lớp trốn tránh, bất kể nó nhỏ đến mức nào”, các nhà nghiên cứu cho biết. “Việc sử dụng lại mã đặt ra một vấn đề cho những người bảo vệ vì nó làm mờ ranh giới giữa các cuộc tấn công khác nhau mà chúng tôi thấy và làm cho bất kỳ loại ghi công nào trở nên khó khăn hơn.”
Khi lừa đảo lừa đảo đạt được sự tinh vi hơn, điều cần thiết là người dùng phải xem xét kỹ các URL của trang web để đảm bảo rằng liên kết hiển thị thực sự là đích đến, tránh nhấp vào liên kết từ email, tin nhắn trò chuyện và nội dung công khai khác và biến đa yếu tố dựa trên trình xác thực xác minh tài khoản an toàn khỏi bị xâm nhập.
