เครื่องมือโอเพ่นซอร์สสำหรับการโจมตีแบบ adversary-in-the-middle (AiTM) ถูกพบกำลังถูกนำมาใช้โดยผู้โจมตี
Microsoft Threat Intelligence กำลังติดตามกลุ่มแฮ็กเกอร์ที่อยู่เบื้องหลังการพัฒนาชุดเครื่องมือดังกล่าวภายใต้ชื่อ DEV -1101
การโจมตี AiTM phishing คือความพยายามในการขโมย และดักจับข้อมูลรหัสผ่าน และคุกกี้เซสชั่นของเป้าหมายโดยการติดตั้ง proxy เซิร์ฟเวอร์ระหว่างผู้ใช้กับเว็บไซต์ การโจมตีดังกล่าวมีประสิทธิภาพมาก เนื่องจากมีความสามารถในการหลีกเลี่ยงการป้องกันจาก multi-factor authentication (MFA)
DEV-1101 อยู่เบื้องหลัง Phishing Kits ที่กลุ่มผู้โจมตีรายอื่นสามารถซื้อ หรือเช่าไปใช้ได้ ซึ่งจะช่วยลดความยุ่งยากในการเริ่มการโจมตีด้วย Phishing ได้
เครื่องมือโอเพ่นซอร์สจาก DEV-1101 มาพร้อมกับฟีเจอร์ที่ทำให้สามารถตั้งค่าหน้า Landing Page ฟิชชิ่งที่เลียนแบบ Microsoft Office และ Outlook รวมถึงการจัดการการโจมตีได้จากอุปกรณ์พกพา และแม้แต่ใช้การตรวจสอบจาก CAPTCHA เพื่อหลีกเลี่ยงการตรวจจับ
นับตั้งแต่เปิดตัวบริการดังกล่าวในเดือนพฤษภาคม 2565 เครื่องมือมีการปรับปรุงหลายอย่าง ที่สำคัญที่สุดคือความสามารถในการจัดการเซิร์ฟเวอร์ผ่าน Telegram bot ซึ่งปัจจุบันมีราคา 300 ดอลลาร์สำหรับรายเดือนปกติ และ 1,000 ดอลลาร์สำหรับระดับ VIP
Microsoft ระบุว่าได้ตรวจพบแคมเปญฟิชชิ่งจํานวนมาก ซึ่งครอบคลุมอีเมลฟิชชิ่งนับล้านฉบับต่อวันจากหลากหลายกลุ่มที่ใช้ประโยชน์จากเครื่องมือดังกล่าว
ซึ่งรวมถึงกลุ่ม DEV-0928 ที่ Microsoft ระบุว่าเป็นหนึ่งในผู้สนับสนุนที่สำคัญของ DEV-1101 และเชื่อมโยงกับแคมเปญ Phishing ซึ่งประกอบด้วยอีเมลมากกว่าหนึ่งล้านฉบับตั้งแต่เดือนกันยายน 2565
ลำดับการโจมตีเริ่มต้นด้วยข้อความอีเมลในธีมเอกสารที่มีลิงก์ไปยังเอกสาร PDF ซึ่งเมื่อคลิกแล้ว จะนำผู้รับไปยังหน้าเข้าสู่ระบบที่ปลอมเป็น portal ลงชื่อเข้าใช้ของ Microsoft แต่ก่อนหน้านั้นจะมีการให้ผู้ใช้งานกรอกข้อมูล Captcha ก่อน การใส่หน้า CAPTCHA ลงไปทำให้สามารถป้องกันการถูกตรวจสอบจากระบบอัตโนมัติ แต่ทำให้มั่นใจได้ว่าเหยื่อเป็นผู้เข้าใช้งานเอง
ที่มา : thehackernews
You must be logged in to post a comment.