Được đặt tên là LogoKit, công cụ lừa đảo này đã được triển khai trong thực tế, theo công ty tình báo mối đe dọa RiskIQ đã theo dõi sự phát triển của nó.
Công ty cho biết họ đã xác định được số lượt cài đặt LogoKit trên hơn 300 tên miền trong tuần qua và hơn 700 trang web trong tháng qua.
Hãng bảo mật cho biết LogoKit dựa vào việc gửi cho người dùng các liên kết lừa đảo chứa địa chỉ email của họ.
"Sau khi nạn nhân truy cập URL, LogoKit sẽ lấy các logo công ty từ một dịch vụ của bên thứ ba, chẳng hạn như Clearbit hoặc cơ sở dữ liệu favicon của Google" nhà nghiên cứu an ninh RiskIQ Adam Castleman cho biết trong một báo cáo hôm 27/1.
"Email nạn nhân cũng được tự động điền vào trường email hoặc tên người dùng, đánh lừa nạn nhân cảm thấy như họ đã đăng nhập vào trang web trước đó", ông nói thêm.
"Nếu nạn nhân nhập mật khẩu của họ, LogoKit sẽ thực hiện một yêu cầu AJAX, gửi email và mật khẩu của mục tiêu đến một nguồn bên ngoài và cuối cùng sẽ chuyển hướng người dùng đến trang web công ty (hợp pháp) của họ".
Castleman cho biết LogoKit đạt được điều này chỉ với một bộ hàm JavaScript có thể nhúng thêm vào bất kỳ biểu mẫu đăng nhập chung hoặc tài liệu HTML phức tạp nào.
Điều này khác với các bộ công cụ lừa đảo tiêu chuẩn, hầu hết trong số đó cần các mẫu pixel bắt chước hoàn hảo các trang xác thực của công ty.
Tính mô-đun của bộ công cụ cho phép các nhà khai thác LogoKit nhắm mục tiêu đến bất kỳ công ty nào họ muốn với rất ít công việc tùy chỉnh và thực hiện hàng chục hoặc hàng trăm cuộc tấn công mỗi tuần nhằm vào một loạt mục tiêu.
RiskIQ cho biết trong tháng qua, họ đã thấy LogoKit được sử dụng để bắt chước và tạo các trang đăng nhập cho các dịch vụ khác nhau, từ cổng đăng nhập chung cho đến cổng SharePoint giả, Adobe Document Cloud, OneDrive, Office 365 và một số sàn giao dịch tiền điện tử.
Vì LogoKit rất nhỏ, bộ lừa đảo không phải lúc nào cũng cần thiết lập máy chủ phức tạp của riêng nó, như một số bộ lừa đảo khác vẫn cần. Bộ công cụ có thể được lưu trữ trên các trang web bị tấn công hoặc các trang hợp pháp cho các công ty mà các nhà điều hành LogoKit muốn nhắm mục tiêu.
Hơn nữa, vì LogoKit là một tập hợp các tệp JavaScript, tài nguyên của nó cũng có thể được lưu trữ trên các dịch vụ đáng tin cậy công cộng như Firebase, GitHub, Oracle Cloud và các dịch vụ khác, hầu hết trong số đó sẽ được đưa vào danh sách trắng trong môi trường công ty và kích hoạt khá ít cảnh báo khi được tải bên trong trình duyệt của nhân viên.
RiskIQ cho biết họ theo dõi chặt chẽ mối đe dọa mới này do tính đơn giản của bộ công cụ, mà công ty bảo mật tin rằng sẽ giúp giảm thiểu cơ hội lừa đảo thành công.