Các nhóm tấn công mạng đang chuyển hướng sang lợi dụng hạ tầng đám mây như Microsoft Azure, Google Firebase, AWS và Cloudflare để triển khai mã độc và tấn công lừa đảo. Việc đặt máy chủ và trang giả mạo trên các hạ tầng này giúp kẻ tấn công “mượn uy tín” của các ông lớn công nghệ để qua mặt hệ thống bảo mật, khiến việc phát hiện trở nên khó khăn.

Đáng chú ý, các chiến dịch này tập trung thẳng vào người dùng doanh nghiệp thay vì tài khoản cá nhân. Mục tiêu là xâm nhập hệ thống nội bộ và đánh cắp thông tin đăng nhập quan trọng. Kịch bản tấn công thường bắt đầu bằng email lừa đảo được thiết kế rất thuyết phục, kèm đường link hoặc mã QR dẫn nạn nhân đi qua nhiều lớp chuyển hướng nhằm né tránh các công cụ quét tự động. Nhiều chiến dịch còn cài cắm CAPTCHA và chuỗi chuyển hướng phức tạp để đánh lạc hướng hệ thống phân tích bảo mật truyền thống.

Một kỹ thuật nổi bật là mô hình tấn công “kẻ trung gian” (AiTM). Mã độc đóng vai trò như lớp proxy nằm giữa nạn nhân và dịch vụ thật, giả mạo trang đăng nhập quen thuộc để thu thập thông tin tài khoản. Nguy hiểm hơn, cơ chế này có thể vượt qua xác thực đa yếu tố (MFA) vì kẻ tấn công chiếm được phiên đăng nhập hợp lệ theo thời gian thực.

Các bộ công cụ tấn công phổ biến tập trung vào tài khoản công ty, chủ động loại bỏ email cá nhân để tăng hiệu quả đánh cắp dữ liệu. Chúng tận dụng ưu thế của hạ tầng đám mây như khả năng che giấu nguồn máy chủ thật, thay đổi tên miền nhanh, và lớp bảo vệ ở “biên mạng” khiến các phương pháp nhận diện truyền thống không còn hiệu quả để phát hiện sớm.

Việc kẻ tấn công ẩn hạ tầng thật phía sau CDN như Cloudflare càng khiến việc truy vết và chặn đứng nguồn gốc độc hại trở nên khó khăn. Nếu một tên miền bị gỡ, chúng có thể nhanh chóng dựng lại chiến dịch mới chỉ trong vài phút mà không cần xây dựng lại toàn bộ hệ thống.