Nền tảng lừa đảo VENOM và xu hướng tấn công phishing nhắm vào lãnh đạo doanh nghiệp

Tổng quan về nền tảng VENOM

Phishing từ lâu đã là một trong những phương thức tấn công phổ biến nhất trong lĩnh vực an toàn thông tin. Tuy nhiên, sự phát triển của các cơ chế bảo mật như xác thực đa yếu tố (MFA) đã buộc các đối tượng tấn công phải thay đổi chiến thuật. Thay vì gửi email hàng loạt, chúng chuyển sang hình thức spear phishing – một tấn công có chọn lọc, nhắm vào các cá nhân cụ thể.

Chiến dịch VENOM là một ví dụ điển hình cho xu hướng này khi tập trung vào các lãnh đạo doanh nghiệp như giám đốc điều hành, giám đốc tài chính hoặc quản lý cấp cao. Đây là nhóm đối tượng có quyền truy cập vào dữ liệu quan trọng, do đó việc chiếm đoạt tài khoản có thể gây ra hậu quả nghiêm trọng.

VENOM được xác định là một nền tảng PhaaS hiện đại, cho phép các đối tượng tấn công triển khai và vận hành các chiến dịch lừa đảo một cách có hệ thống, chuyên nghiệp và quy mô lớn. Thay vì yêu cầu kiến thức kỹ thuật sâu như các phương thức phishing truyền thống, VENOM cung cấp sẵn một hệ sinh thái hoàn chỉnh, trong đó bao gồm cơ chế cấp quyền sử dụng nhằm kiểm soát người vận hành, giao diện quản lý chiến dịch tập trung giúp theo dõi và điều phối các hoạt động tấn công, cùng với khả năng lưu trữ và quản lý token truy cập để duy trì quyền kiểm soát tài khoản nạn nhân sau khi xâm nhập thành công. Nhờ những đặc điểm này, VENOM không chỉ đơn thuần là một công cụ hỗ trợ mà đã phát triển thành một nền tảng dịch vụ có cấu trúc rõ ràng, giúp tối ưu hóa hiệu quả tấn công và giảm thiểu rào cản kỹ thuật cho kẻ xấu. Đáng chú ý, nền tảng này không xuất hiện phổ biến trên các diễn đàn công khai, cho thấy khả năng cao nó đang được khai thác trong các nhóm tấn công có tổ chức, với mức độ tinh vi và kiểm soát chặt chẽ, qua đó phản ánh xu hướng chuyên nghiệp hóa ngày càng rõ rệt của các hoạt động tội phạm mạng hiện nay.

Phương thức tấn công

VENOM triển khai chiến lược tấn công theo hướng có chủ đích, trong đó khâu lựa chọn mục tiêu đóng vai trò then chốt. Thay vì phát tán hàng loạt như các chiến dịch phishing truyền thống, nền tảng này tập trung thu thập và phân tích thông tin từ các nguồn công khai như website doanh nghiệp, hồ sơ mạng xã hội hoặc các bài đăng chuyên môn. Dựa trên đó, kẻ tấn công xác định những cá nhân có vị trí quan trọng trong tổ chức, đặc biệt là cấp quản lý và lãnh đạo. Việc cá nhân hóa nội dung email theo từng mục tiêu giúp tăng mức độ tin cậy, khiến nạn nhân khó nhận ra dấu hiệu bất thường và từ đó nâng cao đáng kể tỷ lệ thành công của cuộc tấn công.

Ở giai đoạn phát tán, VENOM sử dụng kỹ thuật giả mạo các thông báo chia sẻ tài liệu từ những dịch vụ quen thuộc như Microsoft SharePoint. Nội dung email được thiết kế tinh vi, mô phỏng gần như hoàn toàn giao diện và ngôn ngữ của hệ thống thật, tạo cảm giác hợp lệ cho người nhận. Điểm khác biệt đáng chú ý là thay vì sử dụng liên kết trực tiếp, vốn dễ bị các hệ thống bảo mật phát hiện, email sẽ chứa mã QR. Khi người dùng quét mã này, họ được chuyển hướng đến hạ tầng do kẻ tấn công kiểm soát. Cách tiếp cận như vậy vừa giúp né tránh các cơ chế lọc email truyền thống, vừa tận dụng thói quen sử dụng thiết bị di động để tăng khả năng người dùng tương tác.

Hình 1. Ví dụ về email phishing điển hình

Ngoài phương thức tấn công kiểu Adversary-in-the-Middle (AiTM), tức là kẻ tấn công đứng “giữa” người dùng và hệ thống để đánh cắp thông tin đăng nhập theo thời gian thực, các nhà nghiên cứu bảo mật tại Abnormal còn ghi nhận một kỹ thuật khác gọi là phương pháp tấn công bằng mã thiết bị (device-code phishing). Trong kỹ thuật này, nạn nhân bị đánh lừa để chấp nhận cấp quyền truy cập vào tài khoản Microsoft của họ cho một thiết bị không hợp lệ (rogue device). Nói cách khác, kẻ tấn công không cần lấy mật khẩu trực tiếp mà lợi dụng chính cơ chế đăng nhập hợp pháp của Microsoft để “được cấp quyền truy cập”.

Hình 2. Phương pháp tấn công bằng mã thiết bị

Sau khi truy cập, nạn nhân không lập tức nhìn thấy trang đăng nhập giả mạo mà phải trải qua một chuỗi bước xác minh trung gian. Đây là cơ chế né tránh phát hiện được thiết kế nhằm loại bỏ các hệ thống phân tích tự động như sandbox, bot hay công cụ quét bảo mật. Chỉ khi hành vi truy cập được xác định là đến từ người dùng thật, hệ thống mới hiển thị giao diện lừa đảo. Cách làm này giúp kéo dài vòng đời của chiến dịch và giảm nguy cơ bị phát hiện sớm bởi các giải pháp an ninh.

Trong giai đoạn đánh cắp thông tin xác thực, VENOM thể hiện mức độ tinh vi vượt trội so với các phương thức truyền thống. Nền tảng này không chỉ thu thập tên đăng nhập và mật khẩu, mà còn có khả năng ghi nhận mã xác thực một lần (OTP) theo thời gian thực. Đồng thời, nó lợi dụng cơ chế xác thực thiết bị hợp pháp để chiếm quyền truy cập token mà không cần lưu trữ mật khẩu lâu dài. Điều này đồng nghĩa với việc kẻ tấn công không chỉ dừng lại ở việc “biết mật khẩu” mà đã tiến tới “chiếm quyền phiên làm việc”, từ đó vượt qua lớp bảo vệ của xác thực MFA.

Cuối cùng, mục tiêu quan trọng nhất của VENOM là duy trì truy cập lâu dài vào hệ thống nạn nhân. Thông qua việc thu thập phiên token và thông tin OAuth, kẻ tấn công có thể tiếp tục truy cập ngay cả khi người dùng đã thay đổi mật khẩu. Đây là một bước tiến nguy hiểm, bởi nó khiến các biện pháp xử lý thông thường như đổi mật khẩu trở nên kém hiệu quả. Hệ quả là quá trình phát hiện và khắc phục sự cố trở nên phức tạp hơn, đòi hỏi phải kiểm soát toàn bộ phiên đăng nhập và thu hồi các token đã bị lộ.

Giải pháp và khuyến nghị

Để giảm thiểu rủi ro từ các nền tảng phishing hiện đại như VENOM, các tổ chức cần triển khai một cách đồng bộ nhiều lớp bảo vệ thay vì phụ thuộc vào một giải pháp đơn lẻ. Trước hết, việc áp dụng các phương thức xác thực có khả năng chống phishing, điển hình như khóa bảo mật vật lý theo chuẩn FIDO2, đóng vai trò quan trọng trong việc ngăn chặn các cuộc tấn công đánh cắp thông tin đăng nhập. Khác với các phương thức xác thực truyền thống như OTP, các cơ chế này dựa trên yếu tố phần cứng và ràng buộc với miền xác thực hợp lệ, từ đó giảm thiểu nguy cơ bị khai thác thông qua các trang đăng nhập giả mạo.

Bên cạnh đó, cần hạn chế hoặc kiểm soát chặt chẽ các cơ chế đăng nhập bằng mã thiết bị, vốn đang bị lợi dụng như một kênh hợp pháp để chiếm quyền truy cập tài khoản. Việc thiết lập các chính sách kiểm soát truy cập, chẳng hạn như giới hạn thiết bị, vị trí địa lý hoặc yêu cầu xác minh bổ sung, sẽ giúp giảm đáng kể bề mặt tấn công. Đồng thời, tổ chức nên triển khai các hệ thống giám sát hành vi đăng nhập nhằm phát hiện sớm các dấu hiệu bất thường, như đăng nhập từ vị trí lạ, thiết bị không quen thuộc hoặc thời điểm bất thường. Các giải pháp này cho phép phản ứng kịp thời trước khi kẻ tấn công có thể mở rộng phạm vi xâm nhập.

Một yếu tố quan trọng cần được chú trọng là nâng cao nhận thức về an toàn thông tin cho người dùng, đặc biệt đối với nhóm nhân sự cấp cao – những đối tượng thường xuyên trở thành mục tiêu của các cuộc tấn công có chủ đích. Các chương trình đào tạo cần được thiết kế có hệ thống, tập trung vào việc trang bị khả năng nhận diện các kỹ thuật phishing hiện đại, bao gồm việc lợi dụng mã QR và giả mạo các dịch vụ số phổ biến. Khi được cung cấp đầy đủ kiến thức và kỹ năng cần thiết, người dùng không chỉ giảm thiểu nguy cơ bị khai thác mà còn đóng vai trò như một lớp phòng thủ chủ động, góp phần nâng cao hiệu quả tổng thể của hệ thống bảo mật trong tổ chức.

Bên cạnh các biện pháp phòng ngừa, việc xây dựng và triển khai quy trình phản ứng nhanh khi xảy ra sự cố an ninh thông tin là một yêu cầu mang tính cấp thiết. Trong trường hợp phát hiện tài khoản có dấu hiệu bị xâm nhập, cần thực hiện ngay các biện pháp xử lý như thu hồi toàn bộ token truy cập, kiểm tra chi tiết lịch sử đăng nhập, đồng thời rà soát toàn bộ hoạt động phát sinh liên quan nhằm xác định phạm vi và mức độ ảnh hưởng của sự cố. Quy trình ứng phó cần được chuẩn hóa, phân công rõ trách nhiệm và đảm bảo khả năng triển khai nhanh chóng, qua đó giảm thiểu tối đa thiệt hại và ngăn chặn hiệu quả khả năng kẻ tấn công tiếp tục duy trì quyền truy cập trong hệ thống.