Tin tặc tấn công Nhật Bản bằng 580 triệu email lừa đảo sử dụng công cụ CoGUI

Công ty an ninh mạng Proofpoint của Mỹ đã phát hiện ra một hoạt động lừa đảo có quy mô chưa từng có được điều khiển bởi một bộ công cụ lừa đảo mới có tên là CoGUI. Công cụ này đã gửi hơn 580 triệu email độc hại từ tháng 1 - 4/2025 nhằm mục đích đánh cắp thông tin đăng nhập tài khoản và dữ liệu thanh toán, chủ yếu nhắm vào người dùng ở Nhật Bản, trong khi các nhóm tấn công nhỏ hơn được phát hiện ở Hoa Kỳ, Canada, Úc và New Zealand.

Theo Proofpoint, CoGUI hiện được xếp hạng là một trong những hoạt động lừa đảo có khối lượng lớn nhất hiện đang được các nhà nghiên cứu theo dõi. Hoạt động của bộ công cụ này đạt đỉnh điểm vào tháng 1/2025, khi hơn 172 triệu email lừa đảo được gửi trong 170 chiến dịch riêng biệt. Chúng sử dụng những email mạo danh các thương hiệu nổi tiếng như Amazon, PayPal, Apple, Rakuten, cơ quan thuế và các tổ chức tài chính lớn.

Chiến dịch lừa đảo CoGUI có quy mô lớn và nhắm mục tiêu chính xác. Mỗi cuộc tấn công thường bắt đầu bằng một email giả mạo thúc giục người nhận thực hiện hành động ngay lập tức và thường liên quan đến cảnh báo giả về các vấn đề về tài khoản hoặc số dư chưa thanh toán.

Một URL độc hại được đính kèm email sẽ chuyển hướng nạn nhân đến một trang lừa đảo. Nhưng CoGUI có một cơ chế sàng lọc độc đáo khi URL chỉ kích hoạt nếu nạn nhân đáp ứng các điều kiện cụ thể do kẻ tấn công xác định, chẳng hạn như: Vị trí địa chỉ IP; ngôn ngữ trình duyệt; hệ điều hành; độ phân giải màn hình; loại thiết bị (di động/máy tính để bàn). Nếu không đáp ứng được các tiêu chí trên, URL sẽ chuyển hướng người dùng đến phiên bản hợp pháp của trang web thương hiệu mà chúng giả mạo, giúp kẻ tấn công tránh bị phát hiện và giảm nghi ngờ. Nếu nạn nhân đáp ứng các điều kiện thì sẽ được chuyển đến một trang đăng nhập giả mạo, khi người dùng nhập thông tin đăng nhập hoặc thông tin tài chính, dữ liệu này sẽ được thu thập và truyền đến máy chủ do kẻ tấn công kiểm soát.

Các chuyên gia ban đầu đã phân tích và cho thấy những điểm tương đồng giữa CoGUI với bộ công cụ lừa đảo Darcula, tuy nhiên cuộc điều tra sâu hơn của Proofpoint đã xác nhận rằng CoGUI và Darcula là những bộ công cụ riêng biệt, mặc dù cả hai đều được tội phạm mạng có trụ sở tại Trung Quốc sử dụng.

CoGUI lần đầu tiên được xác định hoạt động vào tháng 10/2024, nhưng Proofpoint bắt đầu theo dõi chặt chẽ hơn các hoạt động của chúng từ tháng 12/2024 trở đi. Các nhà phân tích tin rằng nhiều tác nhân đe dọa hiện đang tận dụng nền tảng CoGUI, với cơ sở hạ tầng của nó để tạo điều kiện cho hành vi trộm cắp thông tin xác thực tự động trên quy mô lớn. Hầu hết các hoạt động vẫn tập trung vào Nhật Bản, nhưng có dấu hiệu cho thấy khả năng mở rộng ra toàn cầu.

Các chuyên gia cũng nhận thấy rằng CoGUI cũng đã được liên kết với các chiến dịch smishing ở Mỹ, sử dụng các tin nhắn giả mạo có nội dung liên quan đến trả phí đường bộ. Tuy nhiên, hoạt động này phần lớn đã chuyển sang sử dụng công cụ lừa đảo Darcula, điều này cho thấy sự thay đổi hoạt động liên tục giữa các nhà cung cấp dịch vụ lừa đảo.

Với hơn nửa tỷ email lừa đảo được cho là do CoGUI gây ra chỉ trong bốn tháng, các chuyên gia an ninh mạng cảnh báo rằng các nền tảng như vậy có thể dễ dàng được sử dụng lại cho các cuộc tấn công toàn cầu. Khả năng mô phỏng các thương hiệu đáng tin cậy và lọc lưu lượng truy cập để chuyển hướng người dùng khiến nó trở thành vũ khí mạnh mẽ cho các chiến dịch lừa đảo trên toàn thế giới.

Để phòng tránh trước các cuộc tấn công đó, các chuyên gia đã khuyến cáo người dùng nên có các biện pháp đối phó được đề xuất như sau:

- Tránh nhấp vào các liên kết trong email lạ, ngay cả khi chúng có vẻ hợp pháp.

- Điều hướng thủ công đến các trang web bằng cách nhập URL thay vì truy cập thông qua các liên kết nhúng.

- Sử dụng xác thực hai yếu tố (2FA) bất cứ khi nào có thể để hạn chế truy cập trái phép.

- Báo cáo email đáng ngờ cho người phụ trach an ninh mạng hoặc công nghệ thông tin có liên quan.

Khi các công cụ lừa đảo như CoGUI ngày càng khó phát hiện và phức tạp cũng như quy mô ngày càng mở rộng, thì trách nhiệm của cá nhân và tổ chức là phải luôn cảnh giác, thường xuyên đào tạo người dùng và triển khai các biện pháp phòng thủ nhiều lớp.