พบแคมเปญฟิชชิ่งด้วยการใช้เอกสาร PDF ปลอมที่โฮสต์อยู่บน Webflow CDN โดยมุ่งเป้าหมายที่จะขโมยข้อมูลบัตรเครดิต และข้อมูลทางการเงิน
Jan Michael Alcantara นักวิจัยจาก Netskope Threat Labs ระบุว่า "ผู้โจมตีมุ่งเป้าไปยังเหยื่อที่กำลังค้นหาข้อมูลเอกสารบน Search Engines ซึ่งจะนำไปสู่การเข้าถึงไฟล์ PDF ที่มีลิงก์ Phishing ฝังอยู่ในภาพ CAPTCHA และทำให้เหยื่อถูกหลอกให้กรอกข้อมูลสำคัญ”
แคมเปญนี้เกิดขึ้นตั้งแต่ช่วงครึ่งหลังของปี 2024 ผู้ใช้งานที่ค้นหาชื่อหนังสือ, เอกสาร, Charts ในเครื่องมือค้นหาต่าง ๆ เช่น Google จะถูกเปลี่ยนเส้นทางไปยังไฟล์ PDF ที่โฮสต์อยู่บน Webflow CDN
ไฟล์ PDF ที่พบจะมีการฝัง CAPTCHA ที่ทำให้ผู้ใช้ที่คลิกถูกนำไปยังหน้าเว็บ Phishing ที่ฝัง CAPTCHA จริงของ Cloudflare Turnstile ซึ่งทำให้กระบวนการนี้ดูเหมือนจะมีความน่าเชื่อถือ และหลอกให้เหยื่อคิดว่าพวกเขากำลังทำการตรวจสอบเพื่อยืนยันความปลอดภัย และหลีกเลี่ยงการตรวจจับไปพร้อมกัน
ผู้ใช้ที่กด CAPTCHA ผ่าน จะถูกเปลี่ยนเส้นทางไปยังหน้าเว็บที่มีปุ่ม "ดาวน์โหลด" เพื่อเข้าถึงเอกสาร แต่เมื่อเหยื่อพยายามดำเนินการขั้นตอนนี้ พวกเขาจะได้รับข้อความป๊อปอัพให้กรอกข้อมูลส่วนตัว และข้อมูลบัตรเครดิต
Michael Alcantara ให้ข้อมูลเพิ่มเติมว่า “เมื่อกรอกข้อมูลบัตรเครดิตแล้ว ผู้โจมตีจะส่งข้อความกลับไปหาเหยื่อ ว่าบัตรเครดิตไม่ถูกยอมรับ หากเหยื่อกรอกข้อมูลบัตรเครดิตใหม่สอง หรือสามครั้ง จะถูกเปลี่ยนเส้นทางไปยังหน้า Error HTTP 500”
นอกจากนี้ ยังมีการเปิดเผยชุดเครื่องมือ Phishing ใหม่ที่ชื่อว่า Astaroth ซึ่งไม่เกี่ยวข้องกับ banking malware ที่มีชื่อเดียวกัน ชุดเครื่องมือนี้ถูกโฆษณาบน Telegram และตลาดมืดในราคา 2,000 ดอลลาร์ เพื่อแลกกับการอัปเดต และเทคนิคการหลีกเลี่ยงการตรวจจับในระยะเวลา 6 เดือน
ชุดเครื่องมือนี้เหมือนกับบริการ Phishing-as-a-Service (PhaaS) อื่น ๆ ที่ช่วยให้ผู้โจมตีสามารถขโมยข้อมูลการเข้าสู่ระบบ และรหัสการยืนยันตัวตนสองขั้นตอน (2FA) ผ่านหน้าเข้าสู่ระบบปลอมที่เลียนแบบบริการออนไลน์ที่ได้รับความนิยมต่าง ๆ
Daniel Kelley นักวิจัยด้านความปลอดภัยระบุว่า “Astaroth ใช้เทคนิค reverse proxy แบบ Evilginx เพื่อดักจับ และแก้ไขการรับส่งข้อมูลระหว่างเหยื่อ และบริการที่ถูกต้อง เช่น Gmail, Yahoo และ Microsoft โดยทำหน้าที่เป็น Man-in-the-Middle เพื่อดักจับข้อมูลการเข้าสู่ระบบ, โทเค็น และคุกกี้เซสชันแบบเรียลไทม์ ซึ่งสามารถ Bypass การตรวจสอบ 2FA ได้สำเร็จ”
คำแนะนำ
- ผู้ใช้ควรระมัดระวังเมื่อดาวน์โหลดไฟล์ PDF และกรอกข้อมูลส่วนตัวบนเว็บไซต์ที่ไม่น่าเชื่อถือ
- ควรใช้เครื่องมือสแกน และการยืนยันตัวตนสองชั้น (2FA) เพื่อเพิ่มความปลอดภัย
ที่มา: thehackernews
You must be logged in to post a comment.