Cảnh báo kỹ thuật ‘Ghost Phishing’: Khi các bộ lọc email truyền thống bị qua mặt
Chiến dịch tấn công EvilTokens mới đang sử dụng kỹ thuật 'ghost phishing' để ẩn giấu mã độc cho đến khi được giải mã trực tiếp trên trình duyệt của nạn nhân, gây khó khăn cho các giải pháp bảo mật...
Một chiến dịch tấn công mang tên EvilTokens đang nhắm vào các doanh nghiệp tại Mỹ và châu Âu, làm lộ rõ một lỗ hổng nghiêm trọng trong hệ thống bảo mật email hiện nay. Kỹ thuật này được gọi là “ghost phishing”, cho phép các trang web độc hại ẩn mình hoàn toàn cho đến khi chúng được giải mã và kích hoạt ngay bên trong trình duyệt của nạn nhân.
Table Of Content
Khi email trông có vẻ an toàn nhưng trình duyệt lại kể câu chuyện khác
Các cuộc tấn công EvilTokens sử dụng kỹ thuật Microsoft Device Code Phishing để đánh lừa người dùng thực hiện quy trình đăng nhập Microsoft hợp lệ. Thay vì đánh cắp mật khẩu trực tiếp, kẻ tấn công yêu cầu nạn nhân cấp quyền truy cập vào tài khoản của họ. Điểm mấu chốt là nội dung HTML của trang phishing được mã hóa bằng AES-GCM và chỉ hiển thị sau khi trình duyệt giải mã và render nội dung trong DOM.
Vì lý do này, các công cụ kiểm tra URL tĩnh và kiểm soát ở cấp độ mạng thường không phát hiện được mối đe dọa, dẫn đến các hệ lụy:
- Thời gian chiếm quyền điều khiển tài khoản Microsoft 365 kéo dài.
- Phản ứng và ngăn chặn sự cố bị chậm trễ.
- Dữ liệu doanh nghiệp, email và các dịch vụ cloud bị truy cập trái phép.
- Gia tăng khối lượng công việc và chi phí vận hành cho đội ngũ SOC.
Đối tượng nào đang bị nhắm đến nhiều nhất?
Dữ liệu từ ANY.RUN cho thấy hoạt động của EvilTokens tập trung mạnh vào các lĩnh vực công nghệ, sản xuất, giáo dục, ngân hàng, tư vấn và dịch vụ tài chính. Tỷ lệ phơi nhiễm phishing trong năm 2026 tại các ngành này lên tới hơn 65-75%, khiến rủi ro từ một tài khoản bị chiếm đoạt có thể nhanh chóng leo thang thành một sự cố an ninh mạng quy mô lớn cho doanh nghiệp.
Giải pháp: Nhìn thấu ‘bóng ma’ trước khi quá muộn
Cách hiệu quả nhất để đối phó với ghost phishing là sử dụng các môi trường sandbox có khả năng kiểm tra dữ liệu trực tiếp trên trình duyệt. Bằng cách quan sát quá trình giải mã AES-GCM, các chuyên gia phân tích có thể:
- Theo dõi các thay đổi trong DOM để phát hiện mã độc.
- Phân tích các yêu cầu HTTP/Fetch/XHR để truy vết backend của kẻ tấn công.
- Trích xuất các chỉ số (IOCs) như domain, endpoint và hash để phục vụ công tác điều tra.
Việc tích hợp các báo cáo tự động hóa với AI giúp đội ngũ Tier 1 chuyển giao thông tin cho Tier 2 nhanh chóng hơn, giảm thiểu các công việc thủ công và giúp quá trình phản ứng sự cố (incident response) trở nên chính xác, kịp thời hơn.
Trong bối cảnh các cuộc tấn công ngày càng tinh vi, việc chỉ dựa vào các bản quét email sạch là không đủ. Các tổ chức cần nâng cao khả năng hiển thị (visibility) ngay tại cấp độ trình duyệt để ngăn chặn các cuộc tấn công trước khi chúng gây ra thiệt hại thực tế cho doanh nghiệp.
Nguồn tham khảo: The Hacker News



No Comment! Be the first one.