ชุดฟิชชิ่ง Morphing Meerkat
นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ค้นพบแพลตฟอร์ม Phishing-as-a-Service (PhaaS) ที่ซับซ้อน ซึ่งใช้ประโยชน์จากระเบียนการแลกเปลี่ยนอีเมล (MX) ของระบบชื่อโดเมน (DNS) เพื่อสร้างหน้าเข้าสู่ระบบปลอมที่เลียนแบบแบรนด์สินค้ามากกว่า 114 แบรนด์ ผู้กระทำที่อยู่เบื้องหลังปฏิบัติการนี้ ซึ่งติดตามได้ภายใต้ชื่อเล่นว่า Morphing Meerkat ได้มีส่วนร่วมในแคมเปญฟิชชิ่งขนาดใหญ่เพื่อขโมยข้อมูลประจำตัวของผู้ใช้
สารบัญ
Meerkat ที่เปลี่ยนรูปร่างทำงานอย่างไร
ผู้โจมตีใช้กลวิธีต่างๆ มากมายเพื่อเผยแพร่ลิงก์ฟิชชิ่งและขโมยข้อมูลประจำตัวที่ขโมยมา ได้แก่:
- การใช้ประโยชน์จากการเปลี่ยนเส้นทางแบบเปิด: ใช้ประโยชน์จากจุดอ่อนในโครงสร้างพื้นฐาน Adtech
- โดเมนที่บุกรุก: เว็บไซต์ที่ถูกแฮ็กจะถูกใช้เพื่อโฮสต์เนื้อหาฟิชชิ่ง
- การใช้ Telegram เพื่อขโมยข้อมูล: ข้อมูลประจำตัวที่ถูกขโมยจะถูกส่งไปยังผู้ก่อให้เกิดภัยคุกคามผ่านทาง Telegram
แคมเปญที่บันทึกไว้ครั้งหนึ่งในเดือนกรกฎาคม 2024 เกี่ยวข้องกับอีเมลฟิชชิ่งที่มีลิงก์ไปยังเอกสารที่แชร์กัน การคลิกลิงก์ดังกล่าวจะนำผู้ใช้ไปยังหน้าเข้าสู่ระบบปลอมที่โฮสต์บน Cloudflare R2 ซึ่งข้อมูลรับรองของผู้ใช้จะถูกเก็บรวบรวมและส่งให้กับผู้โจมตี
การหลีกเลี่ยงความปลอดภัยด้วยกลยุทธ์อันชาญฉลาด
Morphing Meerkat ประสบความสำเร็จในการส่งอีเมลฟิชชิ่งจำนวนหลายพันฉบับโดยหลีกเลี่ยงการป้องกันความปลอดภัย โดยทำได้ดังนี้:
- การใช้ประโยชน์จากไซต์ WordPress ที่ถูกบุกรุก : การโฮสต์หน้าฟิชชิ่งบนเว็บไซต์ที่ถูกกฎหมายแต่ถูกแฮ็ก
- การใช้ประโยชน์จากช่องโหว่การเปลี่ยนเส้นทางแบบเปิด : การใช้แพลตฟอร์มโฆษณาเช่น DoubleClick ของ Google เพื่อหลีกเลี่ยงการตรวจจับด้านความปลอดภัย
แพลตฟอร์มฟิชชิ่งยังเพิ่มประสิทธิภาพด้วยการแปลเนื้อหาแบบไดนามิกเป็นหลายภาษา รวมถึงภาษาอังกฤษ ภาษาเกาหลี สเปน รัสเซีย เยอรมัน จีน และญี่ปุ่น ช่วยให้สามารถกำหนดเป้าหมายเหยื่อทั่วโลกได้
เทคนิคการหลบเลี่ยงขั้นสูง
Morphing Meerkat ใช้เทคนิคต่อต้านการวิเคราะห์และการบดบังหลายวิธีเพื่อหลีกเลี่ยงการตรวจจับ:
- การเข้ารหัสและการบิดเบือนข้อมูล : ทำให้วิเคราะห์หน้าฟิชชิ่งได้ยากขึ้น
บทบาทของ DNS MX Records ในการฟิชชิ่งแบบปรับแต่ง
สิ่งที่ทำให้ Morphing Meerkat แตกต่างจากภัยคุกคามฟิชชิ่งอื่นๆ คือการใช้ระเบียน DNS MX เพื่อปรับแต่งการโจมตีฟิชชิ่ง ชุดฟิชชิ่งจะดึงระเบียน MX จาก Cloudflare หรือ Google เพื่อระบุผู้ให้บริการอีเมลของเหยื่อ เช่น Gmail, Microsoft Outlook หรือ Yahoo! จากนั้นจึงสร้างหน้าเข้าสู่ระบบปลอมที่ตรงกัน
หากชุดฟิชชิ่งไม่สามารถจดจำบันทึก MX ได้ ระบบจะแสดงหน้าเข้าสู่ระบบ Roundcube ตามค่าเริ่มต้น การปรับแต่งแบบไดนามิกนี้ช่วยเพิ่มโอกาสในการประสบความสำเร็จได้อย่างมาก โดยทำให้ประสบการณ์ฟิชชิ่งดูราบรื่นและน่าเชื่อถือสำหรับเหยื่อ
เหตุใดวิธีการโจมตีนี้จึงไม่ปลอดภัย
ความสามารถในการปรับแต่งหน้าฟิชชิ่งให้เหมาะกับผู้ให้บริการอีเมลของเหยื่อทำให้แคมเปญนี้หลอกลวงได้มาก ความคุ้นเคยกับหน้าเข้าสู่ระบบปลอมประกอบกับอีเมลฟิชชิ่งที่จัดทำอย่างดีทำให้มีโอกาสที่ผู้ใช้จะป้อนข้อมูลประจำตัวโดยไม่รู้ตัวมากขึ้น
การใช้ประโยชน์จากข้อมูลเชิงลึกที่อิงตาม DNS ทำให้ Morphing Meerkat ยกระดับการโจมตีแบบฟิชชิ่งไปสู่ระดับความซับซ้อนใหม่ ทำให้ตรวจจับได้ยากขึ้นและน่าเชื่อถือมากกว่าที่เคย ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ยังคงติดตามและวิเคราะห์กลวิธีที่พัฒนาขึ้นเพื่อลดผลกระทบ
