แพลตฟอร์ม Phishing-as-a-service อย่าง Bluekit ยังคงพัฒนาอย่างต่อเนื่อง โดยมีการตรวจพบ Hostnames ใหม่เกือบ 70 รายการในช่วงสัปดาห์ที่ผ่านมา พร้อมทั้งเพิ่มขีดความสามารถแบบ browser-in-the-middle (BitM) เพื่อยกระดับการขโมยข้อมูลให้ดียิ่งขึ้น
นักวิจัยจาก Varonis ได้รายงานถึง Bluekit ไว้เป็นครั้งแรกเมื่อเดือนเมษายนที่ผ่านมา โดยระบุว่าเครื่องมือนี้มี AI assistant ที่รองรับโมเดล LLMs หลายตัว เช่น Llama, GPT-4.1, Claude, Gemini และ DeepSeek เพื่อใช้สำหรับร่าง Phishing emails
ในช่วงเวลานั้น ชุดเครื่องมือ Phishing นี้มี Templates ให้ลูกค้าเลือกใช้ถึง 40 แบบ ซึ่งมุ่งเป้าไปที่บริการออนไลน์ยอดนิยม เช่น Outlook, Hotmail, Gmail, Yahoo, ProtonMail, iCloud, GitHub และ Ledger
รายงานฉบับใหม่จาก Netcraft ซึ่งเป็นบริษัทป้องกันความเสี่ยงด้านดิจิทัลได้ออกมาเตือนว่า Bluekit ได้เปลี่ยนจากการใช้เทคนิค adversary-in-the-middle มาเป็นกลไกแบบ BitM แทน โดยใช้ JavaScript library แบบ Open-source ที่ชื่อว่า ‘rrweb’ ในการ Serialize ตัว DOM ของหน้าเว็บ และสตรีมข้อมูลผ่านการเชื่อมต่อ WebSocket ไปยังเหยื่อ
ในการโจมตีแบบ BitM เหยื่อจะโต้ตอบกับ Session ของเบราว์เซอร์ที่ถูกควบคุมโดยผู้โจมตี ซึ่งเบราว์เซอร์นั้นจะโหลดหน้าล็อกอินที่ถูกต้องขึ้นมา และคอยส่งต่อ Requests และ Responses ไปมาระหว่างเหยื่อกับบริการเป้าหมาย
Netcraft ตั้งข้อสังเกตว่าตัว ‘rrweb’ เองนั้นเป็นโปรเจกต์ที่ถูกต้อง และถูกนำมาใช้อย่างแพร่หลายสำหรับ Session replay และการวิเคราะห์ข้อมูล ดังนั้น การพบมันทำงานอยู่บนเว็บไซต์จึงไม่ควรด่วนสรุปว่าเป็น Indicator of compromise หากไม่ได้พิจารณาบริบทอื่น ๆ ประกอบด้วย
รูปภาพ, Fonts และ CSS จะถูกดึงมาผ่านโครงสร้างพื้นฐานของการทำ Phishing ในขณะที่ข้อมูลที่เหยื่อกรอกเข้ามาจะถูกส่งต่อไปยังเบราว์เซอร์ของผู้โจมตี
นักวิจัยระบุว่าการที่ rrweb ถูกนำมาเลือกใช้ เป็นเพราะมันสามารถแสดงผลภาพได้อย่างสมจริง, มีการโต้ตอบแบบ Real-time และใช้งาน Bandwidth ได้อย่างมีประสิทธิภาพ
อย่างไรก็ตาม ระบบก็ยังคงมีความหน่วงอยู่บ้าง ดังนั้นความล่าช้าใด ๆ ที่เกิดขึ้นระหว่างการพิมพ์คีย์บอร์ด หรือการคลิกเมาส์บนหน้าล็อกอิน จึงควรตั้งข้อสังเกตไว้ว่าเป็นสัญญาณเตือนอันตราย
กระบวนการยืนยันตัวตนจะไปเสร็จสมบูรณ์บนเบราว์เซอร์ของผู้โจมตี ซึ่งจะทำให้พวกเขาได้รับ Session token ที่ใช้งานได้จริง และสามารถเข้าถึงบัญชีของเหยื่อได้อย่างสมบูรณ์
วิธีการโจมตีแบบ BitM เป็นที่รู้จักกันมาตั้งแต่ปี 2022 ซึ่งคิดค้นขึ้นโดยนักวิจัยที่ชื่อว่า mr.d0x และในเวลาต่อมาก็ถูกนำไปประยุกต์ใช้เพื่อจุดประสงค์ที่เป็นอันตราย
ก่อนที่จะทำการขโมยข้อมูล Credentials Bluekit จะใช้ระบบคัดกรองเหยื่อที่ครอบคลุม เพื่อแยกแยะว่าเป้าหมายใดคือเหยื่อที่แท้จริง และเป้าหมายใดคือนักวิจัย หรือ Security crawlers
ระบบ Anti-analysis ใน Bluekit เวอร์ชันล่าสุด ประกอบไปด้วย
- การสุ่มใช้ CSS filters เพื่อหลบเลี่ยงการตรวจจับที่อาศัยการวิเคราะห์ภาพหน้าจอ
- ชุดไฟล์ JavaScript ที่ถูกเข้ารหัสซ่อนไว้ ซึ่งมีขนาดใหญ่ (มากกว่า 1 MB) และมีการเปลี่ยนแปลงอยู่บ่อยครั้ง
- ระบบ CAPTCHA แบบ Custom เอง ที่อาจทำหน้าตาเลียนแบบ Cloudflare หรือแบรนด์เป้าหมาย
- การระบุตัวตนของเบราว์เซอร์ โดยการเก็บข้อมูลต่าง ๆ เช่น ขนาด RAM, จำนวนคอร์ CPU, ความละเอียดหน้าจอ, ภาษา, การตรวจจับเบราว์เซอร์ที่ไม่มีหน้าต่างแสดงผล (Headless browser) และ Extensions ที่ใช้ป้องกันการทำ Fingerprinting
- การตรวจจับความไม่ตรงกันของ IP Address ผ่าน WebRTC เพื่อระบุตัวผู้ใช้งานที่ซ่อนอยู่หลัง Proxies หรือ VPN
Netcraft ยังรายงานด้วยว่าระบบเฝ้าติดตามแบบ Live (อัปเดตข้อมูลทุก ๆ 5 วินาที) ที่ Varonis เคยรายงานไว้ก่อนหน้านี้ ยังคงมีให้ใช้งานใน BlueKit ซึ่งช่วยให้ผู้โจมตีสามารถเฝ้าดูเหยื่อขณะที่พวกเขาติดอยู่ใน Login sessions ปลอม และสามารถติดตามการกระทำของเหยื่อหลังจากล็อกอินเข้าสู่ระบบได้
รายงานของนักวิจัยได้ระบุชุดข้อมูลเกี่ยวกับ Indicators และสัญญาณต่าง ๆ ที่เกี่ยวข้องกับ Bluekit แต่ยังไม่ได้ถือว่าเป็น Indicators of compromise
สิ่งเหล่านี้ประกอบไปด้วย การปรับแต่ง CSS filter บนองค์ประกอบ HTML ระดับ Top สุดด้วยการสุ่มค่า, ชุดไฟล์ JavaScript ที่ถูกเข้ารหัสซ่อนไว้ซึ่งจะถูกหมุนเวียนสับเปลี่ยนเป็นระยะ, การตรวจสอบข้อมูล Browser fingerprint, การเชื่อมต่อ WebSocket ที่คอยส่งข้อมูล Binary หรือข้อมูลที่ถูกเข้ารหัสบนหน้าล็อกอิน และการตรวจจับความไม่ตรงกันของ IP Address ผ่าน WebRTC บนหน้าแรก
ที่มา : bleepingcomputer
You must be logged in to post a comment.