ชุดเครื่องมือ Phishing-as-a-Service (PhaaS) ที่ชื่อว่า Sneaky2FA ได้เพิ่มขีดความสามารถแบบ Browser-in-the-Browser (BitB) เข้ามา ซึ่งถูกนำมาใช้ในการโจมตีเพื่อขโมยข้อมูล Credentials ของ Microsoft และ session ที่กำลังใช้งานอยู่
ในปัจจุบัน Sneaky2FA ถือเป็นแพลตฟอร์ม PhaaS ที่ถูกใช้งานอย่างแพร่หลาย เช่นเดียวกับ Tycoon2FA และ Mamba2FA โดยเครื่องมือทั้งหมดนี้มุ่งเป้าโจมตีไปที่บัญชีผู้ใช้ Microsoft 365 เป็นหลัก
ชุดเครื่องมือดังกล่าวเป็นที่รู้จักจากการใช้เทคนิคการโจมตีผ่านไฟล์ SVG และกลยุทธ์แบบ Attacker-in-the-Middle (AitM) ซึ่งทำหน้าที่เป็นตัวกลางส่งต่อกระบวนการยืนยันตัวตนไปยังบริการที่ถูกต้อง เพื่อดักจับ Session Token ที่ใช้งานได้ และส่งกลับไปให้แฮ็กเกอร์
อ้างอิงจากรายงานของ Push Security ล่าสุด Sneaky2FA ได้เพิ่มหน้าต่าง Pop-up แบบ BitB ที่เลียนแบบหน้าต่างการล็อกอินของ Microsoft ที่ถูกต้อง และเพื่อความแนบเนียนยิ่งขึ้น หน้าลงชื่อเข้าใช้ปลอมนี้จะปรับเปลี่ยนหน้าตาอัตโนมัติให้เข้ากับระบบปฏิบัติการ และเว็บเบราว์เซอร์ที่เหยื่อกำลังใช้งานอยู่
เมื่อแฮ็กเกอร์ขโมยทั้งข้อมูล Credentials และ Session Token ที่ใช้งานได้ไปแล้ว พวกเขาจะสามารถล็อกอินเข้าสู่บัญชีของเหยื่อได้ทันที แม้ว่าบัญชีนั้นจะเปิดใช้งานการยืนยันตัวตนแบบ 2FA ไว้ก็ตาม
BitB เป็นเทคนิค phishing ที่คิดค้นโดยนักวิจัยชื่อ mr.d0x ในปี 2022 และนับตั้งแต่นั้นมาก็ได้ถูกกลุ่มแฮ็กเกอร์นำไปใช้ในการโจมตีจริง โดยมุ่งเป้าไปที่บัญชี Facebook และ Steam รวมถึงบริการอื่น ๆ
ในระหว่างการโจมตี เมื่อผู้ใช้หลงเข้าไปยังหน้าเว็บที่แฮ็กเกอร์ควบคุมอยู่ จะปรากฏหน้าต่าง Pop-up ของเว็บเบราว์เซอร์ปลอมที่มีช่องให้กรอกข้อมูลเพื่อล็อกอินเด้งขึ้นมา
โครงสร้างของ Pop-up ดังกล่าว แท้จริงแล้วคือ iframe ที่ถูกสร้างขึ้นเพื่อเลียนแบบหน้าเว็บการยืนยันตัวตนของบริการจริง โดยแฮ็กเกอร์สามารถปรับแต่งให้แสดง URL และ Window title ได้ตามต้องการ เพื่อหลอกให้เหยื่อตายใจ
เนื่องจากหน้าต่างปลอมดังกล่าวมีการแสดงแถบ URL ที่ระบุชื่อ domain อย่างเป็นทางการของบริการเป้าหมาย มันจึงดูเหมือนหน้าต่าง Pop-up สำหรับการยืนยันตัวตนที่ดูน่าเชื่อถือ
ในกรณีของ Sneaky2FA เมื่อเหยื่อกดเปิดลิงก์ phishing บนโดเมน previewdoc[.]com พวกเขาจะต้องผ่านการตรวจสอบ bot ด้วย Cloudflare Turnstile เสียก่อน จากนั้นระบบจึงจะแจ้งให้ลงชื่อเข้าใช้ด้วยบัญชี Microsoft เพื่อเปิดดูเอกสาร
หากเหยื่อคลิกที่ตัวเลือก “Sign in with Microsoft” หน้าต่าง BitB ปลอมก็จะปรากฏขึ้น พร้อมกับแสดงแถบ URL ของ Microsoft (ที่ทำปลอมขึ้น) โดยหน้าต่างดังกล่าวจะถูกปรับขนาด และดีไซน์ให้เหมือนกับเบราว์เซอร์ Edge บน Windows หรือ Safari บน macOS อย่างแนบเนียน
ภายในหน้าต่าง Pop-up ปลอมนั้น Sneaky2FA จะโหลดหน้าเว็บ phishing เลียนแบบ Microsoft ที่ทำงานแบบ Reverse Proxy ขึ้นมา จึงทำให้สามารถใช้กระบวนการล็อกอินที่ถูกต้องเพื่อขโมยทั้งรหัสผ่าน และ Session Token ผ่านระบบ AitM ได้
พูดง่าย ๆ ก็คือ เทคนิค BitB ถูกนำมาใช้เพื่อตบตาเหยื่อ และเสริมการทำงานให้กับระบบ AitM เดิมที่มีอยู่แล้วของ Sneaky2FA ให้ดูสมจริงยิ่งขึ้นในขั้นตอนการโจมตี
นอกจากนี้ ชุดเครื่องมือ phishing ดังกล่าวยังใช้เทคนิค Conditional Loading โดยระบบจะส่งพวก bot และนักวิจัยด้านความปลอดภัยไปยังหน้าเว็บปกติที่ไม่มีอันตรายแทน เพื่อปกปิดร่องรอย
ทาง Push Security รายงานว่า เว็บไซต์ phishing เหล่านี้ถูกสร้างขึ้นโดยเน้นเรื่องการหลบเลี่ยงการตรวจจับเป็นหลัก ทำให้มีโอกาสน้อยมากที่ระบบจะแจ้งเตือนความปลอดภัยเมื่อมีผู้ใช้กดเข้าไปดู
นักวิจัยอธิบายว่า “โค้ด HTML และ JavaScript ของหน้าเว็บ Sneaky2FA ถูกซ่อนไว้อย่างซับซ้อนเพื่อหลบเลี่ยงการตรวจจับแบบ Static และการตรวจจับด้วยการเทียบรูปแบบ (Pattern-matching) เทคนิคที่ใช้มีตั้งแต่การแทรกแท็กที่มองไม่เห็นคั่นกลางข้อความบนหน้าเว็บ ไปจนถึงการฝังภาพพื้นหลัง และปุ่มต่าง ๆ ในรูปแบบ Encoded images แทนที่จะเป็นข้อความปกติ รวมถึงการปรับเปลี่ยนอื่น ๆ ที่ผู้ใช้งานทั่วไปมองไม่เห็น แต่ทำให้เครื่องมือสแกนต่าง ๆ ยากที่จะระบุตัวตนของหน้าเว็บได้”
วิธีหนึ่งในการพิสูจน์ว่าหน้าต่าง Pop-up สำหรับการล็อกอินนั้นเป็นของจริงหรือไม่ คือการ “ลองลากหน้าต่างนั้นออกไปนอกขอบเขตของเว็บเบราว์เซอร์หลัก” ซึ่งถ้าเป็น iframe (เทคนิคที่คนร้ายใช้) จะไม่สามารถลากออกไปได้ เพราะมันถูกผูกติดอยู่กับหน้าต่างหลัก
นอกจากนี้ หากเป็น Pop-up ที่ถูกต้อง จะต้องแสดงไอคอนหน้าต่างแยกออกมาต่างหากบนแถบ Taskbar ของคอมพิวเตอร์ด้วย
ฟีเจอร์ BitB นี้ยังเคยถูกพบในบริการ PhaaS อีกเจ้าที่ชื่อว่า Raccoon0365 (หรือ Storm-2246) ซึ่งรายนั้นเพิ่งถูก Microsoft และ Cloudflare เข้าจัดการจนหยุดให้บริการไปเมื่อเร็ว ๆ นี้ หลังจากที่ขโมยข้อมูลบัญชี Microsoft 365 ไปได้มากกว่า 1,000 รายการ
ที่มา : bleepingcomputer
You must be logged in to post a comment.