Tycoon Phishing Kit

ការលេចឡើងនៃ Tycoon 2FA ដែលជាឧបករណ៍បន្លំថ្មីមួយបានបង្កឱ្យមានការព្រួយបារម្ភយ៉ាងខ្លាំងនៅក្នុងសហគមន៍សន្តិសុខតាមអ៊ីនធឺណិត។ ទីផ្សារជាផ្នែកមួយនៃសេវាកម្ម Phishing-as-a-Service (PaaS) របស់ក្រុមហ៊ុន Tycoon Group នៅលើ Telegram វាមានលក់ក្នុងតម្លៃត្រឹមតែ 120 ដុល្លារប៉ុណ្ណោះ។ ក្នុងចំណោមលក្ខណៈពិសេសសំខាន់ៗរបស់វាគឺសមត្ថភាពក្នុងការឆ្លងកាត់ការផ្ទៀងផ្ទាត់ពីរកត្តារបស់ Microsoft សម្រេចបាននូវល្បឿនតំណកម្រិតកំពូល និងប្រើប្រាស់ Cloudflare ដើម្បីជៀសផុតពីវិធានការប្រឆាំងបត ដោយហេតុនេះធានាបាននូវភាពស្ថិតស្ថេរនៃតំណភ្ជាប់បន្លំដែលមិនបានរកឃើញ។

នៅពាក់កណ្តាលខែតុលា ឆ្នាំ 2023 ឧបករណ៍បន្លំត្រូវបានធ្វើបច្ចុប្បន្នភាព ដោយឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតសន្យាថានឹងដំណើរការតំណភ្ជាប់ និងឯកសារភ្ជាប់កាន់តែរលូន។ ការធ្វើបច្ចុប្បន្នភាពនេះស្របគ្នានឹងការរួមបញ្ចូលបច្ចេកវិទ្យា WebSocket ទៅក្នុងទំព័របន្លំរបស់ពួកគេ បង្កើនទំនាក់ទំនងរវាងកម្មវិធីរុករកតាមអ៊ីនធឺណិតទៅម៉ាស៊ីនមេ សម្រាប់ការបញ្ជូនទិន្នន័យកាន់តែមានប្រសិទ្ធភាពទៅម៉ាស៊ីនមេរបស់តួអង្គ។

ត្រឹមខែកុម្ភៈ ឆ្នាំ 2024 ក្រុមហ៊ុន Tycoon Group បានណែនាំមុខងារថ្មីដែលផ្តោតលើអ្នកប្រើប្រាស់ Gmail ដែលអនុញ្ញាតឱ្យឆ្លងកាត់ការផ្ទៀងផ្ទាត់ពីរកត្តា។ ការចេញផ្សាយនេះរួមបញ្ចូលទាំងទំព័រចូល Gmail 'Display' និង Google Captcha ដែលពង្រីកទស្សនិកជនគោលដៅសក្តានុពលរបស់ខ្លួនលើសពីអ្នកប្រើប្រាស់ Microsoft 365 ។

នៅក្នុងការអាប់ដេតថ្មីៗបន្ថែមទៀត ក្រុមនេះបានណែនាំការគាំទ្រសម្រាប់អតិថិជនក្នុងការប្រមូលខូគី Active Directory Federation Services (ADFS) ជាពិសេសផ្តោតលើយន្តការផ្ទៀងផ្ទាត់របស់អង្គការដែលប្រើប្រាស់ ADFS ។

ខ្សែសង្វាក់មេរោគឧបករណ៍បន្លំឧកញ៉ា

លំដាប់ខ្សែសង្វាក់វាយប្រហារចាប់ផ្តើមជាមួយនឹងយុទ្ធនាការបន្លំស្តង់ដារដែលទាញយកដែនដែលអាចទុកចិត្តបាន និងសេវាកម្មដែលមានមូលដ្ឋានលើពពក ដើម្បីបិទបាំង URL ទិសដៅពិតនៃទំព័រចុះចតបន្លំចម្បង។ យុទ្ធសាស្រ្តនេះរួមបញ្ចូលការប្រើប្រាស់សេវាផ្ញើសំបុត្រតាមអ៊ីនធឺណិត និងទីផ្សារល្បីឈ្មោះ ព្រឹត្តិបត្រព័ត៌មាន ឬវេទិកាចែករំលែកឯកសារជាអ្នកបង្វែរ URL ឬម៉ាស៊ីនសម្រាប់ឯកសារបោកបញ្ឆោតដែលមានតំណភ្ជាប់ទៅកាន់ទំព័របន្លំចុងក្រោយ។

ការបញ្ជូនបន្តកើតឡើងនៅពេលចុចលើតំណភ្ជាប់ក្នុងអ៊ីមែល ដែលនាំទៅដល់ឯកសារបញ្ឆោតដែលមានតំណទៅកាន់ទំព័របន្លំចម្បង ឬដោយផ្ទាល់ទៅកាន់ទំព័រចុះចតបន្លំចម្បងដែលសម្របសម្រួលដោយអ្នកប្តូរទិស។

ទំព័រចុះចតបន្លំចម្បងមានសមាសធាតុចម្បងពីរ៖ ស្គ្រីប PHP 'index.php' ដែលទទួលខុសត្រូវក្នុងការផ្ទុកសមាសភាគបន្ទាប់បន្សំរបស់វា ឯកសារ '.JS' បុព្វបទជាមួយ 'myscr' ។ តួនាទីរបស់សមាសធាតុចុងក្រោយគឺបង្កើតកូដ HTML សម្រាប់ទំព័របន្លំ។

យុទ្ធនាការបោកបញ្ឆោតរបស់ឧកញ៉ាពិនិត្យមើលថាតើជនរងគ្រោះមិនមែនជា bots ទេ។

ស្គ្រីបសមាសភាគទីពីរប្រើបច្ចេកទេស obfuscation ផ្សេងៗដើម្បីគេចពី bot crawlers និង antispam engines ។ វិធីសាស្រ្តមួយបែបនេះរួមបញ្ចូលអារេវែងនៃតួអក្សរដែលតំណាងជាចំនួនគត់ទសភាគ។ ចំនួនគត់នីមួយៗឆ្លងកាត់ការបំប្លែងទៅជាតួអក្សរ ហើយបន្ទាប់មកត្រូវបានភ្ជាប់គ្នាដើម្បីបង្កើតកូដប្រភព HTML នៃទំព័របន្លំ។ លើសពីនេះ ស្គ្រីបប្រើបច្ចេកទេសបិទបាំងដែលគេស្គាល់ថាជា 'opaque predicate' ដោយណែនាំកូដដែលលែងត្រូវការតទៅទៀតទៅក្នុងលំហូរកម្មវិធី ដើម្បីបិទបាំងនូវតក្កវិជ្ជាមូលដ្ឋានរបស់ស្គ្រីប។

ដំបូង JavaScript ធ្វើការចម្រោះជាមុនដោយប្រើសេវាកម្ម CloudFlare Turnstile ដើម្បីផ្ទៀងផ្ទាត់ថាតំណភ្ជាប់ត្រូវបានចូលប្រើដោយមនុស្ស ដោយសម្គាល់វាពីកម្មវិធីរុករក bot ស្វ័យប្រវត្តិ។ អ្នកប្រើប្រាស់សេវាកម្ម Phishing-as-a-Service (PaaS) នេះអាចដំណើរការមុខងារនេះនៅក្នុងផ្ទាំងគ្រប់គ្រង និងផ្តល់សោ CloudFlare ដែលភ្ជាប់ជាមួយគណនីរបស់ពួកគេ។ ការរួមបញ្ចូលនេះក៏ផ្តល់នូវការវាស់វែងបន្ថែមសម្រាប់អ្នកបន្លំតាមរយៈផ្ទាំងគ្រប់គ្រង CloudFlare ផងដែរ។

នៅពេលផ្ទៀងផ្ទាត់ដោយជោគជ័យ JavaScript ផ្ទុកទំព័រចូលក្លែងក្លាយដែលតម្រូវតាមប្រធានបទបន្លំដែលបានជ្រើសរើសដោយអតិថិជន។ ជាឧទាហរណ៍ វាអាចត្រាប់តាមទំព័រចូល Microsoft 365។

ឧកញ៉ាផ្តល់ឱ្យអតិថិជនរបស់ខ្លួននូវការគ្រប់គ្រងផ្ទាំងគ្រប់គ្រង

ក្រុមហ៊ុន Tycoon Group PaaS ផ្តល់ជូនបន្ទះគ្រប់គ្រងដែលអាចចូលដំណើរការបានសម្រាប់អ្នកជាវ ឬអ្នកជួល ដោយផ្តល់ឱ្យពួកគេនូវសមត្ថភាពក្នុងការចូល បង្កើត និងត្រួតពិនិត្យយុទ្ធនាការ ក៏ដូចជាត្រួតពិនិត្យព័ត៌មានសម្ងាត់ដែលបន្លំ។

អ្នកប្រើប្រាស់អាចមានសិទ្ធិចូលប្រើបន្ទះសម្រាប់រយៈពេលដែលបានកំណត់ អាស្រ័យលើកម្រិតនៃការជាវរបស់ពួកគេ។ បុគ្គលម្នាក់ៗអាចផ្តួចផ្តើមយុទ្ធនាការថ្មីនៅក្នុងផ្នែកការកំណត់ ដោយជ្រើសរើសប្រធានបទបន្លំដែលពេញចិត្ត និងកែសម្រួលមុខងារ PaaS ផ្សេងៗ។ លើសពីនេះ អតិថិជនអាចមើលការខុសត្រូវលើព័ត៌មានសម្ងាត់ ដែលរួមបញ្ចូលឈ្មោះអ្នកប្រើប្រាស់ ពាក្យសម្ងាត់ និងខូគីសម័យ។ ជាងនេះទៅទៀត សេវាកម្មអនុញ្ញាតឱ្យអ្នកប្រើប្រាស់បញ្ជូនលទ្ធផលបន្លំទៅកាន់គណនី Telegram របស់ពួកគេ។

ការវាយប្រហារ Phishing កាន់តែងាយស្រួលអនុវត្តតាមរយៈ Phishing Kits ដូចឧកញ៉ា

ការលេចចេញនូវគំរូសេវាកម្ម Phishing-as-a-Service ដែលជាឧទាហរណ៍ដោយអង្គភាពដូចជា Tycoon Group បានកាត់បន្ថយយ៉ាងខ្លាំងនូវឧបសគ្គចំពោះការចូលប្រើប្រាស់សម្រាប់ប្រតិបត្តិការការវាយប្រហារដោយបន្លំស្មុគ្រស្មាញ សូម្បីតែឧក្រិដ្ឋជនដែលមានបទពិសោធន៍តិចក៏ដោយ។ ភាពងាយស្រួលនេះបង្ហាញឱ្យឃើញនៅក្នុងការកើនឡើងនៃការវាយប្រហារដោយបន្លំដោយប្រើប្រាស់សេវាកម្មបែបនេះ ដូចដែលបានកត់សម្គាល់ដោយអ្នកស្រាវជ្រាវ។ អ្វីដែលធ្វើឱ្យក្រុមហ៊ុន Tycoon Group ដាច់ពីគ្នាគឺការបញ្ចូលបច្ចេកវិទ្យា WebSocket របស់ខ្លួនទៅក្នុងទំព័របន្លំ ដែលជួយឱ្យការបញ្ជូនទិន្នន័យកាន់តែរលូនរវាង browser និង server របស់អ្នកវាយប្រហារ។ លើសពីនេះ មុខងារនេះជួយសម្រួលដល់ការគ្រប់គ្រងយុទ្ធនាការ និងការត្រួតពិនិត្យព័ត៌មានសម្ងាត់ក្លែងក្លាយសម្រាប់តួអង្គដែលបានជាវ។