Viettel Threat Intelligence (VTI) cảnh báo về nguy cơ tấn công lừa đảo có chủ đích tại Việt Nam đang tiếp diễn từ năm khoảng năm 2018 đến nay. Trong quá trình điều tra, nhóm VTH (Threat Hunting team từ VTI) đánh giá kĩ thuật sử dụng và hình thức khai thác luôn được cập nhật và cải tiến nhằm nâng cao tỉ lệ thành công. Loạt bài viết sau đây sẽ là một cái nhìn tổng quan về nhóm lừa đảo này.

Tóm lược:

·       Hình thức tấn công: lừa đảo, lừa đảo có chủ đích/mạo danh các ngân hàng, cổng thanh toán, ví điện tử tại Việt Nam.

·       Nạn nhân ảnh hưởng: người dùng ngân hàng/các thương hiệu có liên quan bị ảnh hưởng.

·       Thời gian hoạt động của nhóm lừa đảo: khoảng 2018 – hiện nay.

Xem phần 1 bài viết TẠI ĐÂY

3. Những dấu vết mới.
Với chiến dịch lừa đảo xuất phát từ IP 167.114.2.[.]51 diễn ra trong thời gian dài đội ngũ VTH chúng tôi cực kỳ chú trọng theo dõi và giám sát nhằm đảm bảo an toàn thương hiệu cho khách hàng và người dùng. Với nhiều kỹ thuật nghiệp vụ cùng sự theo dõi sát sao, đội ngũ đã lấy được mã nguồn của một tên miền trong chiến dịch này, kèm theo đó là rất nhiều thông tin có giá trị.

Mã nguồn thu thập được
Một form mà đối tượng đang phát triển được chúng tôi tải về phân tích

Với mã nguồn thu thập được nhóm chúng tôi đánh giá đây có thể sẽ là form lừa đảo mới mà nhóm này đang phát triển và có thể sẽ dùng trong các chiến dịch sau này.

Đặc biệt form lừa đảo mới có giao diện chau chuốt hơn và giả mạo đầy đủ các ngân hàng, cổng thanh toán,... Tuy rằng vẫn đang xây dựng nhưng có thể thấy đây là sự cải tiến tinh vi hơn từ nhóm này.

Một số thông tin ở loạt blog trước cùng sự so sánh nhất định với các mã nguồn thu thập được cho thấy nhiều điểm tương đồng với các IP lừa đảo trước đó mà cụ thể là IP ở chiến dịch tháng 3/2020, chúng tôi đã xâu chuỗi và nhận định toàn cảnh chiến dịch do nhóm này thực hiện một cách cụ thể nhất.

Source của một chiến dịch IP cũ được bê sang IP mới này

Nhóm chúng tôi cũng phát hiện ổ nhóm này còn giả mạo nhiều thương hiệu khác như Shopee, VTCPay, ViettelPay,… . Một số tên miền được dựng lên đều có những chức năng liên kết với các ngân hàng từ đó chiến đoạt thông tin tài khoản người dùng.

Giả mạo Shopee để chiếm đoạt thông tin người dùng

Đặc biệt khi phân tích source code, chúng tôi phát hiện một số email để nhận thông tin khách hàng bị lừa nhập vào, từ đó đánh cắp thông tin, tiền/tài sản của người dùng.

Hình ảnh lấy từ một số file trong source code được VTI tải về

Đây là manh mối lớn vì các email này rất đặc trưng. Từ một số email này kết hợp với các kỹ thuật OSINT chúng tôi đã tìm thấy nhiều thông tin người dùng như Facebook cá nhân, tiểu sử, bảng điểm, địa chỉ,.. của đối tượng nghi ngờ thuộc nhóm lừa đảo này.

Một số thông tin đối tượng tình nghi

Trong khoảng 30 phút sau đó đối tượng đa ngay lập tức nhận thấy trang web có dấu hiệu bị lấy nhiều thông tin, đối tượng ngay sau đó đã khắc phục và xoá đi nhiều dấu vết quan trọng.

Chúng tôi nghi vấn đây có thể là một thành viên của ổ nhóm này hoặc Email trong source code là email bị chiếm đoạt.

4. Các chiến dịch “nguy hiểm” tiếp theo.

>> Đón đọc phần tiếp theo trong bài viết sắp tới nhé.