บริษัทด้านความปลอดภัย Gemini Advisory เปิดเผยพฤติกรรมการซื้อขายเครื่องมือสำหรับการโจมตีทางอีเมลใหม่ซึ่งกำลังมีการปล่อยขายในเว็บบอร์ดใต้ดินและใน Darknet ภายใต้ชื่อ Email Appender โดยเครื่องมือดังกล่าวสามารถนำมาใช้ในการโจมตีแบบ Phishing, BEC และใช้ในการแพร่กระจายมัลแวร์ได้โดยเนื้อหาของอีเมลจะปราศจากจุดสังเกตความผิดปกติใด ๆ

Email Appender ใช้วิธีการโจมตีโดยการนำข้อมูลสำหรับเข้าสู่ระบบอีเมลมาดำเนินการเข้าระบบของผู้ให้บริการซ้ำด้วยวิธีการแบบ Credential stuffing หากสามารถเข้าถึงได้ผ่านโปรโตคอล IMAP โปรแกรม Email Appender จะใช้คำสั่ง APPEND เพื่อแทรกข้อมูลเสมือนกับมีอีเมลใหม่เข้ามาในบัญชีอีเมลของเป้าหมาย ส่งผลให้เมื่อเหยื่อเข้ามาตรวจสอบใน Inbox จะพบกับอีเมลซึ่งมีลักษณะเหมือนของจริงอยู่ภายใน

เทคนิคการใช้ APPEND ใน IMAP ถูกใช้มานานแล้ว อย่างไรก็ตามความนิยมของเทคนิคค่อนข้างต่ำเนื่องจากผู้โจมตีจะต้องมีข้อมูลของบัญชีอีเมลที่ถูกต้องเพื่อผ่านการยืนยันตัวตนของโปรโตคอลที่เกี่ยวข้องกับอีเมลให้ได้ก่อนจึงจะสามารถทำการโจมตีได้

Email Appender ถูกขายแบบ Subscription โดยมีราคาต่ำสุดอยู่ที่ 50 เหรียญสหรัฐฯ สำหรับการใช้งานหนึ่งวัน

ในมุมของผู้ใช้งานที่ช่วยในการป้องกันการโจมตีได้คือการเปิดใช้ฟีเจอร์การยืนยันตัวตนหลายขั้นตอน (Multi-factor authentication หรือ MFA) เพื่อป้องกันการนำ credential มาใช้ซ้ำ รวมไปถึงหมั่นตรวจสอบการรั่วไหลของข้อมูลสำหรับยืนยันตัวตนและพฤติกรรมการใช้งานบัญชีอย่างสม่ำเสมอ

ที่มา: bleepingcomputer.