Một chiến dịch lừa đảo qua email (phishing) mới đây đang âm thầm nhắm vào người dùng doanh nghiệp, bằng cách ngụy trang dưới dạng file PDF đơn đặt hàng (Purchase Order) được thiết kế rất chuyên nghiệp. Chỉ với một cú nhấp chuột vào nút “Xem tài liệu”, nạn nhân có thể vô tình trao toàn bộ thông tin đăng nhập công ty cho tin tặc từ email doanh nghiệp cho tới các hệ thống nội bộ quan trọng.
Chiến dịch này được phát hiện sau khi Malwarebytes chặn một liên kết đáng ngờ nhúng trong file có tên “NEW Purchase Order #52177236.pdf”, hé lộ phía sau là cả một hạ tầng đánh cắp dữ liệu được xây dựng bài bản, tinh vi và có quy mô lớn.
Theo các nhà nghiên cứu an ninh mạng, đây là một chiến dịch phishing có tổ chức, nhắm trực tiếp vào nhân viên doanh nghiệp, đặc biệt là các bộ phận thường xuyên xử lý đơn hàng, hóa đơn, mua sắm. Tin tặc không cần nhắm tới một cá nhân cụ thể, mà phát tán hàng loạt email với cùng một mẫu PDF để “giăng lưới” diện rộng.
Chiến dịch này được phát hiện sau khi Malwarebytes chặn một liên kết đáng ngờ nhúng trong file có tên “NEW Purchase Order #52177236.pdf”, hé lộ phía sau là cả một hạ tầng đánh cắp dữ liệu được xây dựng bài bản, tinh vi và có quy mô lớn.
Theo các nhà nghiên cứu an ninh mạng, đây là một chiến dịch phishing có tổ chức, nhắm trực tiếp vào nhân viên doanh nghiệp, đặc biệt là các bộ phận thường xuyên xử lý đơn hàng, hóa đơn, mua sắm. Tin tặc không cần nhắm tới một cá nhân cụ thể, mà phát tán hàng loạt email với cùng một mẫu PDF để “giăng lưới” diện rộng.
Mục tiêu cuối cùng của chúng là thu thập thông tin đăng nhập doanh nghiệp, có thể mở đường cho các cuộc tấn công nghiêm trọng hơn như xâm nhập email công ty, chiếm quyền tài khoản Microsoft 365, Google Workspace, VPN hoặc hệ thống chia sẻ dữ liệu nội bộ.
File PDF tưởng vô hại nhưng chứa “mồi nhử”
Bề ngoài, file PDF trông giống hệt một đơn đặt hàng hợp lệ, có bố cục chuyên nghiệp và một nút bấm “View Document” nhằm tạo cảm giác khẩn trương và hợp pháp. Tuy nhiên, khi người dùng di chuột lên nút này, liên kết phía sau lại trỏ tới một URL rất dài và khó nhận biết, được lưu trữ trên ionoscloud.com (tên miền của IONOS Cloud), một nhà cung cấp hạ tầng đám mây uy tín tại châu Âu.
Việc sử dụng hạ tầng của các nhà cung cấp lớn như IONOS Cloud, AWS hay Microsoft Azure không phải ngẫu nhiên. Đây là xu hướng ngày càng phổ biến của tội phạm mạng, bởi các tên miền “có tiếng” thường ít bị chặn tự động bởi hệ thống bảo mật, từ đó giúp email và liên kết độc hại dễ lọt qua bộ lọc hơn.
Việc sử dụng hạ tầng của các nhà cung cấp lớn như IONOS Cloud, AWS hay Microsoft Azure không phải ngẫu nhiên. Đây là xu hướng ngày càng phổ biến của tội phạm mạng, bởi các tên miền “có tiếng” thường ít bị chặn tự động bởi hệ thống bảo mật, từ đó giúp email và liên kết độc hại dễ lọt qua bộ lọc hơn.
Điều gì xảy ra khi người dùng nhấp chuột?
Khi nạn nhân bấm vào nút trong PDF, họ sẽ bị chuyển hướng tới một trang giả mạo trình xem PDF, được lưu trữ trên một website đã bị xâm nhập trước đó. Trang này tự động điền sẵn địa chỉ email của người nhận, tạo cảm giác rằng đây là hệ thống nội bộ quen thuộc.
Ngay sau đó, trang web yêu cầu người dùng đăng nhập bằng “business email login” – một cụm từ cố tình mơ hồ, không chỉ rõ dịch vụ nào. Chính sự mập mờ này giúp tin tặc thu thập thông tin đăng nhập của nhiều loại tài khoản doanh nghiệp khác nhau, thay vì chỉ nhắm vào một nền tảng cụ thể.
Đáng chú ý, giao diện trang lừa đảo hiển thị bằng tiếng Tây Ban Nha, với lời chào “Estimado”, cho thấy chiến dịch này có thể đang tập trung vào các tổ chức tại khu vực nói tiếng Tây Ban Nha, dù về bản chất, nó hoàn toàn có thể được điều chỉnh để tấn công ở bất kỳ quốc gia nào.
Ngay sau đó, trang web yêu cầu người dùng đăng nhập bằng “business email login” – một cụm từ cố tình mơ hồ, không chỉ rõ dịch vụ nào. Chính sự mập mờ này giúp tin tặc thu thập thông tin đăng nhập của nhiều loại tài khoản doanh nghiệp khác nhau, thay vì chỉ nhắm vào một nền tảng cụ thể.
Đáng chú ý, giao diện trang lừa đảo hiển thị bằng tiếng Tây Ban Nha, với lời chào “Estimado”, cho thấy chiến dịch này có thể đang tập trung vào các tổ chức tại khu vực nói tiếng Tây Ban Nha, dù về bản chất, nó hoàn toàn có thể được điều chỉnh để tấn công ở bất kỳ quốc gia nào.
JavaScript bị làm rối cực mạnh, thu thập dữ liệu toàn diện
Khi phân tích sâu hơn hạ tầng phía sau, các nhà nghiên cứu phát hiện một file JavaScript bị làm rối (obfuscation) nặng, dài tới hơn 113.000 dòng mã (con số bất thường cho thấy rõ ý đồ che giấu hoạt động độc hại). Sau khi gỡ bỏ lớp ngụy trang, đoạn mã này không chỉ thu thập tên đăng nhập và mật khẩu, mà còn âm thầm lấy thêm hàng loạt thông tin hệ thống, bao gồm:
- Trình duyệt và hệ điều hành đang sử dụng
- Ngôn ngữ hệ thống, độ phân giải màn hình
- Thông tin vị trí địa lý dựa trên địa chỉ IP
- Cookie trình duyệt và các dữ liệu phiên làm việc
Những dữ liệu này giúp tin tặc đánh giá mức độ “giá trị” của nạn nhân, đồng thời hỗ trợ các cuộc tấn công tiếp theo tinh vi hơn.
Telegram trở thành “máy chủ” nhận dữ liệu bị đánh cắp
Thay vì thiết lập máy chủ riêng tin tặc lựa chọn Telegram làm kênh nhận dữ liệu. Toàn bộ thông tin đánh cắp được gửi thẳng tới một Telegram bot, thông qua một mã chat ID được nhúng sẵn trong mã nguồn.
Telegram, với khả năng mã hóa và truyền tin tức thời, từ lâu đã trở thành công cụ ưa thích của nhiều nhóm tội phạm mạng, cho phép chúng nhận dữ liệu gần như ngay lập tức mà không cần vận hành hạ tầng phức tạp.
Ngoài ra, việc phát hiện nhiều file PDF tương tự trên VirusTotal, tất cả đều trỏ về cùng một hạ tầng IONOS Cloud, cho thấy đây là một chiến dịch quy mô lớn, được tự động hóa và dễ dàng nhân bản.
Telegram, với khả năng mã hóa và truyền tin tức thời, từ lâu đã trở thành công cụ ưa thích của nhiều nhóm tội phạm mạng, cho phép chúng nhận dữ liệu gần như ngay lập tức mà không cần vận hành hạ tầng phức tạp.
Ngoài ra, việc phát hiện nhiều file PDF tương tự trên VirusTotal, tất cả đều trỏ về cùng một hạ tầng IONOS Cloud, cho thấy đây là một chiến dịch quy mô lớn, được tự động hóa và dễ dàng nhân bản.
Mức độ nguy hiểm và ảnh hưởng tới người dùng
Về bản chất, đây không chỉ là một vụ lừa đảo đơn lẻ mà là một mắt xích nguy hiểm trong chuỗi tấn công doanh nghiệp. Khi thông tin đăng nhập bị lộ, hậu quả có thể lan rộng từ:
- Mất quyền kiểm soát email doanh nghiệp
- Rò rỉ dữ liệu nội bộ, hợp đồng, thông tin khách hàng
- Bị lợi dụng tài khoản để lừa đảo tiếp các đối tác khác
- Mở đường cho tấn công ransomware hoặc gián điệp mạng
Chỉ một cú nhấp chuột sai lầm từ một nhân viên cũng có thể gây ra thiệt hại lớn cho cả tổ chức.
Dù đã được cảnh báo nhiều năm, PDF chứa liên kết độc hại vẫn là một trong những phương thức phishing hiệu quả nhất hiện nay, bởi sự quen thuộc và tâm lý chủ quan của người dùng. Trong bối cảnh tin tặc ngày càng lạm dụng hạ tầng đám mây hợp pháp và các nền tảng nhắn tin mã hóa như Telegram, việc phát hiện và ngăn chặn các chiến dịch như vậy trở nên khó khăn hơn bao giờ hết.
Để giảm thiểu rủi ro, người dùng và tổ chức cần đặc biệt lưu ý:
Dù đã được cảnh báo nhiều năm, PDF chứa liên kết độc hại vẫn là một trong những phương thức phishing hiệu quả nhất hiện nay, bởi sự quen thuộc và tâm lý chủ quan của người dùng. Trong bối cảnh tin tặc ngày càng lạm dụng hạ tầng đám mây hợp pháp và các nền tảng nhắn tin mã hóa như Telegram, việc phát hiện và ngăn chặn các chiến dịch như vậy trở nên khó khăn hơn bao giờ hết.
Để giảm thiểu rủi ro, người dùng và tổ chức cần đặc biệt lưu ý:
- Luôn xác minh các email, đơn đặt hàng, hóa đơn không được yêu cầu trước đó
- Không đăng nhập tài khoản doanh nghiệp qua các liên kết trong file đính kèm
- Sử dụng phần mềm bảo mật có khả năng phát hiện liên kết độc hại theo thời gian thực
- Ưu tiên dùng trình quản lý mật khẩu, giúp tránh nhập thông tin vào website giả mạo
Trong thế giới số hiện nay, một file PDF tưởng như vô hại cũng có thể là cánh cửa mở ra cho tội phạm mạng. Cẩn trọng vẫn luôn là lớp phòng vệ đầu tiên và quan trọng nhất.
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
