Cảnh báo khẩn cấp: Tấn công Phishing MetaMask nguy hiểm
Một chiến dịch tấn công phishing MetaMask mới đang nhắm mục tiêu vào người dùng MetaMask thông qua các email được thiết kế tinh vi. Các email này chứa báo cáo sự cố bảo mật giả mạo, được tạo ra để thao túng nạn nhân, dẫn đến việc tài khoản của họ bị xâm phạm.
Cuộc tấn công sử dụng các chiến thuật kỹ thuật xã hội bằng cách tạo ra cảm giác cấp bách giả mạo về bảo mật tài khoản. Kẻ tấn công thúc đẩy người dùng kích hoạt xác thực hai yếu tố (2FA) thông qua các liên kết độc hại, nhằm đánh cắp dữ liệu thông tin đăng nhập.
Tổng quan về Chiến dịch Tấn công Phishing MetaMask
MetaMask là một ví tiền điện tử được sử dụng rộng rãi, có sẵn dưới dạng tiện ích mở rộng trình duyệt và ứng dụng di động. Với lượng người dùng lớn, MetaMask đã trở thành mục tiêu chính cho các kẻ tấn công.
Chiến dịch tấn công phishing MetaMask hiện tại tập trung vào việc lừa đảo người dùng tiết lộ thông tin nhạy cảm của họ.
Cơ chế Hoạt động của Tấn công
Các email phishing được gửi đến người nhận kèm theo một tệp PDF có tên “Security_Reports.pdf”. Tệp này chứa một báo cáo sự cố bảo mật được ngụy tạo, cảnh báo người nhận về hoạt động đăng nhập bất thường trên tài khoản của họ.
Tài liệu PDF này tự nó không chứa mã độc. Thay vào đó, nó hoạt động như một công cụ tâm lý, gây hoang mang cho người dùng và làm giảm khả năng phòng vệ của họ trước các mối đe dọa.
Email cũng bao gồm một liên kết dẫn nạn nhân đến một trang phishing được lưu trữ trên AWS. Đây là nơi diễn ra hành vi đánh cắp dữ liệu thông tin đăng nhập thực sự.
Các nhà phân tích của Internet Storm Center đã xác định chiến dịch này và ghi nhận một số chi tiết kỹ thuật đáng chú ý về cách thức triển khai. Liên kết đến phân tích gốc có thể được tìm thấy tại SANS Internet Storm Center.
Chiến thuật Kỹ thuật Xã hội
Tệp PDF giả mạo được tạo ra bằng ReportLab, một dịch vụ trực tuyến hợp pháp và thư viện Python. ReportLab thường được sử dụng để tạo các tài liệu PDF chuyên nghiệp. Việc sử dụng công cụ hợp pháp này giúp báo cáo giả mạo trông đáng tin cậy hơn.
Cuộc tấn công này khai thác mối lo ngại tự nhiên của người dùng về an toàn thông tin tài khoản và nỗi sợ bị truy cập trái phép. Báo cáo sự cố giả mạo tạo ra tình huống khẩn cấp giả tạo. Điều này gây áp lực buộc người nhận phải hành động ngay lập tức, mà không kịp kiểm tra kỹ tính xác thực của thông tin liên lạc.
Bằng cách đóng khung liên kết phishing như một biện pháp nâng cao bảo mật, kẻ tấn công cố gắng vượt qua sự hoài nghi tự nhiên của người dùng về việc nhấp vào các liên kết đáng ngờ. Việc sử dụng cơ sở hạ tầng Amazon Web Services (AWS) để lưu trữ trang phishing tạo thêm một lớp tính hợp pháp được nhận thức. Các tên miền AWS có thể trông đáng tin cậy hơn đối với những người dùng ít am hiểu kỹ thuật.
Chỉ số Nhận dạng Thỏa hiệp (IOCs)
Để hỗ trợ các nhóm bảo mật trong việc phát hiện và ngăn chặn chiến dịch này, các chỉ số nhận dạng thỏa hiệp (IOCs) sau đây đã được xác định:
- Phishing URL:
hxxps://access-authority-2fa7abff0e.s3.us-east-1.amazonaws.com/index.html2486253ddc186e9f4a061670765ad0730c8945164a3fc83d7b22963950d6dcd1Các nhóm bảo mật nên sử dụng các IOC này để cập nhật hệ thống phát hiện xâm nhập (IDS) và cổng bảo mật email của họ.
Điểm yếu và Khả năng Phát hiện của Chiến dịch
Mặc dù việc sử dụng các báo cáo bảo mật giả mạo là một kỹ thuật tinh vi, các nhà nghiên cứu đã lưu ý rằng chất lượng tổng thể của chiến dịch tấn công phishing MetaMask này vẫn còn tương đối thấp ở một số khía cạnh.
Các địa chỉ email của người gửi không bị giả mạo (spoofed). Điều này làm cho việc xác định các email là lừa đảo dễ dàng hơn khi kiểm tra kỹ lưỡng. Thêm vào đó, các tài liệu PDF thiếu tính cá nhân hóa hoặc thương hiệu cụ thể cho từng nạn nhân.
Việc thiếu cá nhân hóa này có thể đã làm cho cuộc tấn công kém thuyết phục hơn so với các chiến dịch phishing phức tạp khác. Tuy nhiên, yếu tố cấp bách vẫn có thể vượt qua sự cảnh giác của người dùng.
Khuyến nghị Bảo mật và Phòng ngừa
Để bảo vệ bản thân và hệ thống khỏi các chiến dịch tấn công phishing MetaMask tương tự, người dùng và tổ chức nên thực hiện các biện pháp phòng ngừa sau:
Biện pháp cho Người dùng Cá nhân
- Xác minh Địa chỉ Email: Luôn kiểm tra cẩn thận địa chỉ email của người gửi trước khi mở tệp đính kèm hoặc nhấp vào liên kết trong các tin nhắn liên quan đến bảo mật.
- Không Chia sẻ Thông tin Nhạy cảm: MetaMask sẽ không bao giờ yêu cầu các thông tin nhạy cảm như cụm từ khôi phục (recovery phrases) thông qua email hoặc bất kỳ hình thức liên lạc không chính thức nào.
- Kích hoạt 2FA Chính thức: Chỉ kích hoạt xác thực hai yếu tố (2FA) thông qua các kênh chính thức của MetaMask. Truy cập các kênh này bằng cách gõ thủ công địa chỉ trang web vào trình duyệt, không thông qua liên kết trong email. Điều này đảm bảo an toàn thông tin tài khoản của bạn.
Biện pháp cho Đội ngũ Bảo mật
- Chặn Tên miền Phishing: Chặn tên miền AWS phishing đã được xác định ở cấp độ mạng hoặc gateway email.
- Cập nhật Cơ sở dữ liệu Threat Intelligence: Thêm SHA256 hash của tệp PDF độc hại vào cơ sở dữ liệu threat intelligence của tổ chức để cải thiện khả năng phát hiện.
- Đào tạo Người dùng: Thực hiện các chương trình đào tạo thường xuyên để nâng cao nhận thức của người dùng về các mối đe dọa phishing và kỹ thuật xã hội.
Việc áp dụng một cách tiếp cận bảo mật nhiều lớp là cần thiết để đối phó hiệu quả với các mối đe dọa phishing ngày càng tinh vi. Đây là một bước quan trọng trong việc đảm bảo an toàn thông tin cho mọi người dùng.
