กลุ่มผู้โจมตีได้ใช้บริการ link wrapping จากบริษัทเทคโนโลยีชื่อดัง เพื่อซ่อนลิงก์ที่เป็นอันตรายให้นำไปสู่หน้าเว็บไซต์ phishing ของ Microsoft 365 ซึ่งมีเป้าหมายเพื่อขโมยข้อมูลการล็อกอินของเหยื่อ
ผู้โจมตีได้ใช้ช่องโหว่ของระบบรักษาความปลอดภัย URL จากบริษัทด้านความปลอดภัยทางไซเบอร์ Proofpoint และบริษัทด้านการสื่อสารผ่านคลาวด์ Intermedia ในแคมเปญการโจมตีช่วงระหว่างเดือนมิถุนายนถึงกรกฎาคม
บริการรักษาความปลอดภัยทางอีเมลบางแห่งมีฟีเจอร์ link wrapping ที่จะทำการ rewrites URLs ในข้อความอีเมลใหม่ให้ชี้ไปยังโดเมนที่น่าเชื่อถือ และส่งลิงก์เหล่านั้นผ่านเซิร์ฟเวอร์สแกนที่ถูกออกแบบมาเพื่อบล็อกปลายทางที่เป็นอันตราย
การทำให้ URL phishing ดูน่าเชื่อถือ
ทีมรักษาด้านความปลอดภัยทางอีเมลของ Cloudflare ค้นพบว่า ผู้โจมตีทำให้ URL ที่เป็นอันตรายดูน่าเชื่อถือได้ หลังจากที่สามารถโจมตีเข้าไปในบัญชีอีเมลที่ได้รับการป้องกันโดย Proofpoint และ Intermedia ได้สำเร็จ โดยมีความเป็นไปได้สูงว่าพวกเขาใช้การเข้าถึงโดยไม่ได้รับอนุญาตนี้เพื่อเผยแพร่ links ที่ผ่านการ "laundered" แล้ว
นักวิจัย ระบุว่า "ผู้โจมตีใช้บริการ link wrapping ของ Proofpoint ในรูปแบบต่าง ๆ รวมถึงการเปลี่ยนเส้นทางแบบ multi-tiered ร่วมกับ URL shorteners ผ่านบัญชีที่ถูกโจมตี"
ทีมรักษาด้านความปลอดภัยทางอีเมลของ Cloudflare ระบุว่า "การใช้ link wrapping ของ Intermedia ที่เราพบ จะมุ่งเน้นไปที่การพยายามเข้าถึงบัญชีอีเมลที่ได้รับการป้องกันด้วยฟีเจอร์ link wrapping ด้วยเช่นกัน"
ผู้โจมตีได้เพิ่ม layer ของการซ่อนข้อมูล โดยเริ่มจากการนำลิงก์ที่เป็นอันตรายไปย่อก่อน จากนั้นจะส่งจากบัญชีที่ได้รับการป้องกัน ทำให้ระบบจะทำการ wrapped link นั้นโดยอัตโนมัติ
นักวิจัย ระบุว่า ผู้โจมตีจะล่อลวงเหยื่อด้วยการแจ้งเตือนปลอมเกี่ยวกับ voicemail หรือเอกสารที่ถูกแชร์ผ่าน Microsoft Teams และเมื่อไปถึงปลายทางสุดท้ายของการเปลี่ยนเส้นทาง (redirect chain) แล้ว ก็จะเป็นหน้าเว็บไซต์ phishing ของ Microsoft Office 365 ที่ใช้สำหรับการขโมยข้อมูล credentials ของเหยื่อ
ในแคมเปญที่ใช้ช่องโหว่จากบริการของ Intermedia ผู้โจมตีได้ส่งอีเมลที่แอบอ้างว่าเป็นการแจ้งเตือนข้อความปลอดภัยจาก “Zix” เพื่อให้เหยื่อเปิดดูเอกสาร หรือแอบอ้างว่าเป็นการสื่อสารจาก Microsoft Teams ที่จะแจ้งว่ามีข้อความใหม่เข้ามา
Link ที่อ้างว่าจะนำไปสู่เอกสารดังกล่าวนั้น แท้จริงแล้วเป็น URL ที่ถูก wrapped โดยบริการของ Intermedia และจะเปลี่ยนเส้นทางไปยังหน้าเว็บไซต์ปลอมที่ hosting อยู่บนแพลตฟอร์มการตลาดดิจิทัล และอีเมลของ Constant Contact ที่ใช้สำหรับแสดงหน้าเว็บ phishing ดังกล่าว
การคลิกที่ปุ่มตอบกลับในอีเมลการแจ้งเตือนของ Teams ที่ปลอมขึ้นมานั้น จะพาเหยื่อไปสู่หน้าเว็บไซต์ phishing ของ Microsoft ที่ถูกออกแบบมาเพื่อขโมยข้อมูลการล็อกอินของเหยื่อ
นักวิจัยของ Cloudflare ระบุว่า การซ่อนปลายทางที่เป็นอันตรายไว้ภายใต้ URL จากบริการป้องกันอีเมลที่ดูน่าเชื่อถือ ทำให้ผู้โจมตีมีโอกาสประสบความสำเร็จในการโจมตีเพิ่มมากขึ้น
ทั้งนี้ ควรสังเกตว่าการใช้บริการที่น่าเชื่อถือเพื่อส่ง payloads ที่เป็นอันตรายนั้นไม่ใช่เรื่องใหม่ แต่การใช้ช่องโหว่จากฟีเจอร์ด้านความปลอดภัย link-wrapping ถือเป็นเทคนิคใหม่ล่าสุดของการโจมตีแบบ phishing
ที่มา : bleepingcomputer
You must be logged in to post a comment.