การหลอกลวงด้วยข้อความจาก USPS รูปแบบใหม่ ใช้เทคนิคเฉพาะในการซ่อนลิงก์ PDF ที่เป็นอันตราย

Zimperium รายงานเมื่อวันจันทร์ที่ผ่านมาว่า พบเทคนิคฟิชชิงรูปแบบใหม่ที่มุ่งเป้าไปที่อุปกรณ์มือถือ โดยใช้วิธีการซ่อนข้อมูลแบบใหม่ที่ไม่เคยถูกพบมาก่อน เพื่อซ่อนลิงก์ไปยังหน้าบริการไปรษณีย์ของสหรัฐอเมริกา (USPS) ปลอมภายในไฟล์ PDF

วิธีการนี้ปรับแต่งโครงสร้างของไฟล์ Portable Document Format (PDF) เพื่อซ่อนลิงก์ที่สามารถคลิกได้ ทำให้ผู้ใช้งาน และระบบรักษาความปลอดภัยบนมือถือมองไม่เห็น โดยปกติระบบจะค้นหาลิงก์ในไฟล์ PDF จากแท็ก “/URI”

Fernando Ortega นักวิจัยมัลแวร์จาก Zimperium ระบุใน blog post ว่า "นักวิจัยยืนยันว่า วิธีนี้ทำให้ URL ที่เป็นอันตรายภายในไฟล์ PDF สามารถหลีกเลี่ยงการตรวจจับโดยโซลูชันรักษาความปลอดภัยบนอุปกรณ์หลายตัว ในทางกลับกัน URL เดียวกันสามารถถูกตรวจพบได้เมื่อใช้แท็ก /URI ตามปกติ"

โพสต์ดังกล่าวอธิบายว่าไฟล์ PDF ประกอบด้วย “objects” หลายประเภท เช่น strings, arrays, dictionaries และ streams ซึ่งเป็นโครงสร้างที่กำหนดวิธีที่ซอฟต์แวร์แสดงผล PDF จะโหลด และแสดงเนื้อหา ผู้ไม่หวังดีใช้ประโยชน์จากโครงสร้างนี้ โดยส่งไฟล์ PDF ที่เป็นอันตรายผ่านข้อความ SMS โดยแอบอ้างว่าเป็นคำแนะนำในการรับพัสดุจาก USPS ที่ไม่สามารถจัดส่งได้

โดยปกติแล้ว hyperlinks ในไฟล์ PDF จะแสดงผ่าน dictionary object แบบ "Go-To-URI" ซึ่งมีแท็ก /URI ตามด้วย string ที่ระบุ URL อย่างไรก็ตาม ในไฟล์ PDF ที่ถูกส่งผ่านแคมเปญฟิชชิงทาง SMS ลิงก์จะถูกฝังอยู่ใน stream item ที่ถูก compressed แทน ซึ่งใช้เป็นคำสั่งให้โปรแกรมแสดงผล PDF เรนเดอร์ข้อความที่สามารถคลิกได้

คำสั่งเหล่านี้ไม่เพียงแต่หลีกเลี่ยงการใช้ลิงก์ Go-To-URI ที่เห็นได้ชัดเจนเท่านั้น แต่ยังซ่อน URL ที่น่าสงสัย โดยการตั้งสีตัวอักษรให้เหมือนกับสีพื้นหลัง และย้ายข้อความไปยังตำแหน่งเดียวกับที่มีการแทรกรูปภาพภายนอก (XObject)

ลิงก์ถูกซ่อนมากขึ้นโดยการใช้ font object ที่มีการแปลงรหัสตัวอักษรไปเป็นค่าตัวอักษร Unicode ที่แตกต่างจากปกติ เมื่อ stream object สั่งให้โปรแกรมแสดงผล PDF ใช้ font object นี้ในการเรนเดอร์ข้อความ URL ข้อความจะถูกโหลดเป็น string ของ Unicode characters ที่ดูแตกต่างจาก URL ที่ข้อความลิงก์ไปจริง ๆ

แทนที่ผู้ใช้งานที่ถูกโจมตีจะเห็นข้อความ URL ที่สามารถคลิกได้ พวกเขาจะเห็น XObject image ของปุ่ม "Click Update" ถูกแสดงทับอยู่บนลิงก์นั้น การพยายามแตะที่ปุ่มจะทำการคลิกไปที่ลิงก์ที่ถูกซ่อนอยู่ข้างใต้ ซึ่งจะนำผู้ใช้ไปยังเว็บไซต์ USPS ปลอม

เว็บไซต์ฟิชชิงจะแสดงฟอร์มให้เหยื่อกรอกที่อยู่ในการจัดส่ง, อีเมล และหมายเลขโทรศัพท์ จากนั้นจะขอข้อมูลบัตรเครดิตเพื่อชำระค่าธรรมเนียมบริการ $0.30 สำหรับการจัดส่งพัสดุใหม่อีกครั้ง ข้อมูลที่กรอกจะถูกเข้ารหัสผ่าน Rabbit stream cipher และส่งไปยัง C2 Server ของผู้โจมตี

Zimperium ระบุว่าได้พบมากกว่า 20 เวอร์ชันของไฟล์ PDF ที่เป็นอันตราย และหน้าฟิชชิ่ง 630 หน้าที่เกี่ยวข้องกับการโจมตีครั้งนี้ หน้าเว็บฟิชชิงเหล่านี้ยังพบว่ารองรับกว่า 50 ภาษา ซึ่งแสดงให้เห็นถึงการกำหนดเป้าหมายในระดับนานาชาติ และอาจมีการใช้เครื่องมือในลักษณะ phishing kit

Zimperium ระบุว่า "ความไว้วางใจของผู้ใช้ในรูปแบบไฟล์ PDF และความสามารถที่จำกัดของผู้ใช้มือถือในการดูข้อมูลเกี่ยวกับไฟล์ก่อนที่จะเปิดเพิ่มความเสี่ยงจากแคมเปญฟิชชิงดังกล่าว"

ที่มา : scworld