Nhóm điều tra của Red Hot Cyber, bao gồm nhân vật bí ẩn S.D., chuyên gia thử nghiệm xâm nhập và lập trình viên Davide Cavallini, và nhà phân tích an ninh mạng Davide Santoro, đã phát hiện ra rằng liên kết trong email chuyển hướng đến một trang web chứa một tài liệu PDF giả mạo, mô phỏng một đơn hàng được bảo vệ bằng mật khẩu. Phân tích sâu hơn cho thấy liên kết thực hiện chuyển hướng thông qua JavaScript, chỉ ra một cuộc tấn công XSS (Cross-Site Scripting) liên tục, nơi mã độc hại được thực thi trong trình duyệt của người truy cập.
Cuộc điều tra về mã JavaScript cho thấy nó thu thập dữ liệu người dùng thông qua API đến một trang WordPress khác của Iran. Chiến lược tấn công này không chỉ đặt ra mối đe dọa trực tiếp đối với người dùng tương tác với email phishing, mà còn làm nổi bật các điểm yếu đáng kể trong hệ thống IT của một số công ty Ý, phơi bày chúng trước nguy cơ các cuộc tấn công Man-in-the-Middle (MITM).
“Balada Injector” khai thác một lỗ hổng đã biết, CVE-2023-6000, trong plugin Popup Builder của WordPress, thực hiện các cuộc tấn công XSS để xâm nhập vào các trang web mục tiêu. Red Hot Cyber đề xuất các biện pháp phòng ngừa khác nhau để bảo vệ chống lại các cuộc tấn công phishing này, bao gồm giáo dục người dùng, sử dụng phần mềm bảo mật, cập nhật plugin và thư viện thường xuyên, và thực hiện các chính sách bảo mật nghiêm ngặt.
Sự tham gia có thể của MuddyWater, một nhóm APT của Iran hoạt động từ năm 2017 và nổi tiếng với hoạt động gián điệp mạng sử dụng cả công cụ có sẵn miễn phí và phần mềm độc hại được phát triển đặc biệt, đòi hỏi phải đánh giá cẩn thận và hành động ngay lập tức để bảo vệ dữ liệu nhạy cảm và giảm thiểu rủi ro cho tính toàn vẹn của các hoạt động kinh doanh Ý.
Source: Red Hot Cyber
Để giảm thiểu các mối đe dọa tiềm năng, điều quan trọng là cần thực hiện các biện pháp bảo mật mạng bổ sung với sự giúp đỡ của một đối tác đáng tin cậy như INFRA www.infrascan.net hoặc bạn cũng có thể tự thử bằng cách sử dụng check.website.