Tykit - Công cụ lừa đảo đánh cắp Microsoft 365, Việt Nam không nằm ngoài tầm ngắm

WhiteHat Team

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
116
1.203 bài viết
Tykit - Công cụ lừa đảo đánh cắp Microsoft 365, Việt Nam không nằm ngoài tầm ngắm
WhiteHat Team
Trong khi Microsoft 365 ngày càng trở thành nền tảng làm việc chủ lực của doanh nghiệp toàn cầu, các tài khoản công ty cũng trở thành mục tiêu béo bở cho tội phạm mạng. Lợi dụng xu hướng này, một bộ công cụ lừa đảo mang tên Tykit đã âm thầm xuất hiện với khả năng giả mạo đăng nhập Microsoft 365 cực kỳ tinh vi. Nguy hiểm hơn, Tykit hoạt động theo mô hình Phishing-as-a-Service, cho phép bất kỳ kẻ tấn công nào cũng có thể “thuê” và triển khai để đánh cắp tài khoản, vượt qua cả xác thực đa yếu tố (MFA).

1761209559968.png

Theo các chuyên gia, Tykit bắt đầu lộ diện trên các hệ thống sandbox từ tháng 5/2025. Tuy nhiên, đến tháng 9 và 10, hoạt động của nó bùng nổ mạnh mẽ, gắn liền với làn sóng tấn công bằng file SVG (ảnh vector) chứa mã độc - một phương thức được xem là khó phát hiện hơn các định dạng file truyền thống như HTML hay PDF.

Tykit được phát hiện có khả năng giả lập hoàn hảo giao diện đăng nhập Microsoft 365 để lấy cắp thông tin đăng nhập của nhân viên doanh nghiệp. Điểm đặc biệt là bộ công cụ này được xây dựng như một sản phẩm hoàn chỉnh, có hạ tầng riêng cho cả tấn công lẫn điều khiển, cho thấy phía sau là nhóm tội phạm mạng có tổ chức.
1761209593114.png
Điểm vượt trội của Tykit nằm ở ba yếu tố: Hình thức lôi kéo tinh vi, khả năng vượt qua kiểm soát bảo mật và mô hình hoạt động đa tầng.

1. Dùng file SVG - tưởng ảnh vô hại, thực chất chứa mã JavaScript tấn công​

Người dùng thường xem SVG là “file hình ảnh” nhưng đây thực chất là một dạng văn bản có thể nhúng mã JavaScript. Tykit sử dụng XOR coding để giải mã mã độc khi người dùng mở file, rồi kích hoạt đoạn lệnh eval() để chuyển hướng sang trang đăng nhập giả.

2. Lừa người dùng bằng CAPTCHA và xác thực giả để tăng độ tin cậy​

Trước khi hiển thị trang đăng nhập giả, Tykit cho nạn nhân “vượt CAPTCHA của Cloudflare”, tạo cảm giác an toàn vì tưởng là trang thật.

1761209647715.png

3. Mô hình AitM (Adversary-in-the-Middle) vượt qua cả MFA​

Khi người dùng nhập email, mật khẩu và thực hiện xác thực đa yếu tố, Tykit chặn dữ liệu và đánh cắp luôn mã token (JWT) để chiếm tài khoản mà không cần mật khẩu hay mã xác thực lại.

Theo phân tích, Tykit đã lan đến nhiều lĩnh vực quan trọng:
  • Tài chính, xây dựng, bất động sản
  • Công nghệ thông tin
  • Viễn thông
  • Giáo dục và cơ quan chính phủ
1761209573776.png

Một khi tài khoản Microsoft 365 bị chiếm quyền, kẻ tấn công có thể:
  • Truy cập email, chia sẻ nội bộ, tài liệu nhạy cảm
  • Lateral movement (di chuyển qua hệ thống nội bộ doanh nghiệp)
  • Truy cập các ứng dụng SaaS (Teams, SharePoint, OneDrive…)
  • Thực hiện tấn công BEC (Business Email Compromise)
  • Đánh cắp dữ liệu dẫn tới rò rỉ thông tin, thiệt hại tài chính hoặc phạt vi phạm pháp lý
Cách Tykit đánh lừa người dùng và diễn biến tấn công:
  1. Người dùng nhận một file SVG có nội dung giả danh kiểm tra số điện thoại hoặc thông tin xác thực.
  2. File giải mã mã độc bằng XOR và gọi lệnh eval().
  3. Nạn nhân được chuyển hướng tới trang CAPTCHA Cloudflare giả.
  4. Tiếp theo là trang đăng nhập Microsoft giả mạo.
  5. Sau khi nhập thông tin, dữ liệu được gửi về /api/login.
  6. Nếu lấy token thành công, Tykit trả về trang HTML “bình thường” để đánh lạc hướng.
  7. Nếu thất bại, kẻ tấn công hiển thị lỗi “mật khẩu sai” để dụ nạn nhân nhập lại.
Các nạn nhân trải rộng ở Mỹ, Canada, khu vực Mỹ Latin (LATAM), châu Âu, châu Phi (EMEA), Đông Nam Á và Trung Đông (như vậy rất có khả năng Việt Nam có thể trong tầm ngắm)...

Lời khuyến cáo từ các chuyên gia tới người dùng cá nhân và doanh nghiệp​

Đối với doanh nghiệp:
  • Kiểm tra và phân tích file SVG trước khi cho phép mở.
  • Kích hoạt MFA chống phishing như FIDO2 (không chỉ SMS OTP hoặc email OTP).
  • Giám sát hành vi hệ thống: Phát hiện eval(), Base64 bất thường hoặc kết nối đến tên miền đáng ngờ.
  • Thiết lập quy tắc SIEM phát hiện /api/login hoặc /api/validate khả nghi.
  • Cảnh báo nhân viên: “Ảnh có thể không chỉ là ảnh”.
Đối với người dùng cá nhân/nhân viên:
  • Không mở file SVG hoặc trang web lạ “yêu cầu kiểm tra thông tin”.
  • Luôn kiểm tra kỹ URL trước khi đăng nhập.
  • Nếu bị yêu cầu đăng nhập lại sau MFA, hãy nghi ngờ.
  • Đăng xuất và reset mật khẩu ngay nếu nghi bị lừa.
Sự xuất hiện của Tykit là sự cảnh tỉnh, lừa đảo trực tuyến đã bước sang giai đoạn chuyên nghiệp hóa, được đóng gói như một sản phẩm có thể thuê và triển khai nhanh chóng. Điều này đồng nghĩa các doanh nghiệp không còn đối đầu với “kẻ lừa đảo nghiệp dư” mà giờ đây là cả một chuỗi cung ứng tội phạm mạng. Vì vậy, nhận thức, công cụ phòng thủ hiện đại và chính sách bảo mật nghiêm ngặt chính là “vũ khí” cần thiết để giữ an toàn trước những bộ công cụ phishing ngày càng tinh vi như Tykit.
WhiteHat
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bạn phải đăng nhập hoặc đăng ký để phản hồi tại đây.
Bài viết liên quan
  • Chiến dịch PipeMagic Storm-2460 khai thác Help Index Files lây lan mã độc và chiếm quyền
  • Chiến dịch Storm-2603: Mã độc vượt diệt virus, đánh úp hệ thống bằng ransomware kép
  • Auto-Color: Mã độc mới lợi dụng lỗ hổng SAP để chiếm quyền điều khiển từ xa
  • Konfety - Malware mới trên Android với chiến thuật lẩn tránh qua APK và mã động
  • XWorm - RAT thế hệ mới với khả năng tàng hình, tấn công và lây lan tinh vi
  • DEVMAN - Biến thể ransomware mới từ DragonForce với kỹ thuật tránh phát hiện tinh vi
    • Thẻ
    captcha microsoft 365 phishing-as-a-service svg tykit
    Bên trên