นักวิจัยพบกลุ่ม phishing-as-a-service (PhaaS) ชื่อว่า Morphing Meerkat ได้ใช้ protocol DNS over HTTPS (DoH) เพื่อหลีกเลี่ยงการตรวจจับ

รวมถึงยังพบการใช้ประโยชน์จาก DNS email exchange (MX) records เพื่อระบุผู้ให้บริการอีเมลของเหยื่อ และเพื่อให้บริการหน้าเข้าสู่ระบบปลอมแบบไดนามิกสำหรับแบรนด์ต่าง ๆ มากกว่า 114 แบรนด์

Morphing Meerkat ได้เริ่มทำการโจมตีมาตั้งแต่ปี 2020 เป็นอย่างน้อย ซึ่งนักวิจัยด้านความปลอดภัยจาก Infoblox เป็นผู้ค้นพบกลุ่มดังกล่าว แม้ว่าจะมีการบันทึกการดำเนินการของกลุ่มนี้ไว้บางส่วนแล้ว แต่ส่วนใหญ่ก็ไม่ค่อยมีการตรวจพบมานานหลายปี

แคมเปญ Phishing ขนาดใหญ่

Morphing Meerkat คือ PhaaS platform ที่มีชุดเครื่องมือสำหรับการโจมตี phishing ที่มีประสิทธิภาพ ปรับรูปแบบได้ และหลบเลี่ยงการตรวจจับได้ โดยไม่จำเป็นต้องมีความรู้ทางเทคนิคในการโจมตีขั้นสูงก็สามารถใช้งานได้

ตัวระบบมี SMTP infrastructure แบบรวมศูนย์เพื่อแพร่กระจาย spam อีเมล โดยอีเมลที่ติดตามได้ 50% มีต้นทางมาจากบริการอินเทอร์เน็ตที่ให้บริการโดย iomart (สหราชอาณาจักร) และ HostPapa (สหรัฐอเมริกา)

แคมเปญ Phishing นี้สามารถปลอมแปลงเป็นผู้ให้บริการอีเมล และบริการอื่น ๆ มากกว่า 114 ราย รวมถึง Gmail, Outlook, Yahoo, DHL, Maersk และ RakBank โดยส่งข้อความที่มี subject ที่ได้รับการออกแบบมาเพื่อกระตุ้นให้ผู้รับดำเนินการอย่างเร่งด่วน เช่น “ต้องดำเนินการ: ปิดใช้งานบัญชี” โดยอีเมลจะถูกส่งในหลายภาษา รวมถึงภาษาอังกฤษ สเปน รัสเซีย และแม้แต่จีน และสามารถปลอมแปลงชื่อและที่อยู่ของผู้ส่งได้

หากเหยื่อคลิกลิงก์ที่เป็นอันตรายในข้อความ ก็จะเข้าสู่กระบวนการโจมตีแบบ open redirect exploits บนแพลตฟอร์มเทคโนโลยีโฆษณา เช่น Google DoubleClick ซึ่งหลายครั้งจะมาจาก WordPress sites ที่ถูกโจมตี โดเมนปลอม และบริการโฮสติ้งฟรี

เมื่อเหยื่อไปถึงเว็บไซต์ปลายทางแล้ว เครื่องมือ phishing จะโหลด และตรวจสอบ MX record ของโดเมนอีเมลของเหยื่อโดยใช้ DoH ผ่านทาง Google หรือ Cloudflare และต่อมาก็จะโหลดหน้าล็อกอินปลอมโดยกรอกอีเมลของเหยื่อโดยอัตโนมัติ

เมื่อเหยื่อกรอกข้อมูล credentials แล้ว ข้อมูลดังกล่าวจะถูกส่งต่อไปยัง Hacker ผ่าน AJAX requests ไปยังเซิร์ฟเวอร์ภายนอก และ PHP scripts ที่โฮสต์บนหน้าฟิชชิ่ง นอกจากนี้ยังสามารถส่งต่อแบบ Real-time โดยใช้ Telegram bot webhooks ได้อีกด้วย

เมื่อทำการกรอกข้อมูลเป็นครั้งแรก จะมีข้อความแจ้งข้อผิดพลาดว่า “รหัสผ่านไม่ถูกต้อง กรุณากรอกอีเมล รหัสผ่านที่ถูกต้อง” เพื่อให้เหยื่อกรอกรหัสผ่านใหม่อีกครั้ง เพื่อให้แน่ใจว่าข้อมูลถูกต้อง เมื่อเหยื่อทำเช่นนั้นแล้ว จะถูกส่งต่อไปยังหน้าการยืนยันตัวตนที่ถูกต้องเพื่อลดความน่าสงสัย

DoH และ DNS MX

การใช้ DoH และ DNS MX ทำให้ Morphing Meerkat โดดเด่นจากเครื่องมืออื่น ๆ ที่คล้ายกัน เนื่องจากเป็นเทคนิคขั้นสูงที่ช่วยในด้านการโจมตีได้เป็นอย่างดี

DNS over HTTPS (DoH) เป็นโปรโตคอลที่ดำเนินการ DNS resolution โดยใช้ HTTPS requests ที่เข้ารหัส แทน DNS queries ที่ใช้ UDP แบบ plaintext ดั้งเดิม

MX (Mail Exchange) record เป็น type หนึ่งของ DNS record ที่แจ้งให้อินเทอร์เน็ตทราบว่าเซิร์ฟเวอร์ใดจัดการอีเมลสำหรับโดเมนที่กำหนด

เมื่อเหยื่อคลิกลิงก์ใน phishing เครื่องมือ phishing kit จะถูกโหลดลงในเบราว์เซอร์ และส่ง DNS request ไปยัง Google หรือ Cloudflare เพื่อค้นหา MX records ของ domain อีเมลของพวกเขา วิธีการดังกล่าวช่วยหลีกเลี่ยงการตรวจจับได้ เนื่องจาก query เกิดขึ้นในฝั่งไคลเอนต์ และการใช้ DoH จะช่วยหลีกเลี่ยงจากการตรวจสอบ DNS

เมื่อระบุผู้ให้บริการอีเมลจาก MX record แล้ว phishing kit จะสามารถส่งแคมเปญ Phishing ที่ตรงกันให้กับเหยื่อได้

Infoblox เสริมว่า แนวทางป้องกันที่แนะนำในการรับมือกับ Phishing ประเภทนี้ก็คือ "การใช้ DNS control ที่เข้มงวดยิ่งขึ้น เพื่อไม่ให้ผู้ใช้สามารถเชื่อมต่อกับ DoH servers หรือการบล็อกการเข้าถึงของผู้ใช้ใน adtech หรือ file sharing infrastructure ที่ไม่สำคัญต่อธุรกิจ"

 

ที่มา : bleepingcomputer.

ช่องโหว่ด้านความปลอดภัยในเว็บเบราว์เซอร์ Opera ที่ได้รับการแก้ไขแล้ว อาจทำให้ extension ที่เป็นอันตรายสามารถเข้าถึง API ส่วนตัวได้โดยไม่ได้รับอนุญาต

Guardio Labs ระบุว่า การโจมตีนี้มีชื่อรหัสว่า CrossBarking โดยการโจมตีดังกล่าวจะทำให้สามารถดำเนินการต่าง ๆ อย่างเช่น การจับภาพหน้าจอ, การแก้ไขการตั้งค่าเบราว์เซอร์ และการขโมยบัญชีผู้ใช้ได้

เพื่อแสดงให้เห็นถึงช่องโหว่นี้ บริษัทระบุว่าได้ทำการทดลองเผยแพร่ extension ของเว็บเบราว์เซอร์ที่ดูเหมือนไม่มีอันตรายไปยัง Chrome Web Store ซึ่งเมื่อถูกติดตั้งใน Opera แล้วก็จะสามารถใช้ช่องโหว่ดังกล่าวได้ ทำให้เป็นตัวอย่างหนึ่งของการโจมตีแบบ cross-browser-store

Nati Tal หัวหน้า Guardio Labs ได้แชร์รายงานนี้ให้กับ The Hacker News ว่า “กรณีศึกษานี้ไม่เพียงแต่เน้นย้ำให้เห็นถึงความขัดแย้งที่เกิดขึ้นระหว่างประสิทธิภาพการทำงานกับความปลอดภัยเท่านั้น แต่ยังเปิดเผยให้เห็นถึงกลยุทธ์ที่ผู้โจมตียุคใหม่ใช้ ซึ่งมักแฝงตัวอยู่ใต้เรดาร์การตรวจจับ”

ช่องโหว่นี้ได้รับการแก้ไขโดย Opera ไปแล้วเมื่อวันที่ 24 กันยายน 2024 หลังจากมีการเปิดเผยข้อมูล อย่างไรก็ตาม เหตุการณ์นี้ไม่ใช่ครั้งแรกที่พบช่องโหว่ด้านความปลอดภัยในเว็บเบราว์เซอร์นี้

เมื่อต้นเดือนมกราคมที่ผ่านมา มีการเปิดเผยรายละเอียดของช่องโหว่ที่มีชื่อว่า MyFlaw ซึ่งใช้ประโยชน์จากฟีเจอร์ที่มีชื่อว่า My Flow เพื่อเรียกใช้ไฟล์ใด ๆ ก็ได้ บนระบบปฏิบัติการที่ใช้งานอยู่

เทคนิคการโจมตีล่าสุดนี้อาศัยข้อเท็จจริงที่ว่าโดเมนย่อยหลายแห่งที่เป็นของ Opera สามารถถูกเข้าถึงได้จากภายนอก ซึ่งจะมีสิทธิ์ในการเข้าถึง API ส่วนตัวที่ฝังอยู่ในเบราว์เซอร์ โดเมนเหล่านี้ถูกใช้เพื่อรองรับฟีเจอร์เฉพาะของ Opera เช่น Opera Wallet, Pinboard และอื่นๆ รวมถึงโดเมนที่ใช้ในการพัฒนาภายในด้วย

รายชื่อของบางโดเมน ซึ่งรวมถึงโดเมนของ third-party บางส่วน มีดังต่อไปนี้

crypto-corner.

นักวิจัยได้แจ้งเตือนถึงการใช้งาน DNS query ที่ไม่ปลอดภัย ทำให้สามารถถูกดักขโมยข้อมูลโดยการปลอม DNS ให้ชี้ไปยังผู้ไม่หวังดี

อ้างอิงจากงานวิจัยที่ได้รับการเปิดเผยโดยนักวิจัยของมหาวิทยาลัย Texas สหรัฐอเมริกา และมหาวิทยาลัย China Tsinghua จากจีน ระบุว่า DNS query ประมาณ 0.66% ของการเข้าถึงเว็บไซต์ที่ส่งผ่าน TCP สามารถถูกดักฟังข้อมูลได้ ทีมงานวิจัยจากจีนและสหรัฐอเมริกาอธิบายผลการวิจัยไว้ในบทความ "Who Is Answering My Queries : Understanding and Characterizing Interception of the DNS Resolution Path.