Microsoft เตรียมนำไดรเวอร์รุ่นเก่าออกจาก Windows Update เพื่อเพิ่มความปลอดภัย

Microsoft ได้ประกาศแผนการที่จะลบไดรเวอร์รุ่นเก่าออกจาก catalog ของ Windows Update เป็นระยะ ๆ เพื่อลดความเสี่ยงด้านความปลอดภัย และความเข้ากันได้ของอุปกรณ์

Microsoft ระบุว่า "เหตุผลเบื้องหลังความคิดริเริ่มนี้ คือเพื่อให้แน่ใจว่ามีชุดไดรเวอร์ที่เหมาะสมที่สุดบน Windows Update ที่สามารถรองรับอุปกรณ์ hardware หลากหลายประเภททั่วทั้ง ecosystem ของ Windows ขณะเดียวกันก็ต้องมั่นใจว่าสถานะความปลอดภัยของ Microsoft Windows จะไม่ถูกลดทอนลงด้วยเช่นกัน"

"ความคิดริเริ่มนี้เกี่ยวข้องกับการ cleanup ไดรเวอร์ออกจาก Windows Update เป็นระยะ ๆ ซึ่งจะส่งผลให้ไดรเวอร์บางรายการจะไม่ถูกเสนอให้ติดตั้งกับอุปกรณ์ใด ๆ ใน ecosystem ของ Windows อีกต่อไป"

ตามที่ Microsoft ได้อธิบายเมื่อวันพฤหัสบดีที่ผ่านมาว่า ขั้นตอนแรกของกระบวนการ cleaning up นี้ จะเริ่มจากไดรเวอร์ที่มีเวอร์ชันใหม่กว่าที่ถูกเผยแพร่อยู่ใน Windows Update อยู่แล้ว

ในบริบทนี้ การ cleanup หมายถึง การทำให้ไดรเวอร์หมดอายุ โดยการลบความเชื่อมโยงของไดรเวอร์กับกลุ่มเป้าหมายใน Windows Update ออก ซึ่งจะทำให้ไดรเวอร์ดังกล่าวไม่ถูกนำเสนอให้ติดตั้งกับระบบ Windows ใด ๆ อีกต่อไป โดยกระบวนการนี้จะดำเนินการผ่านการลบการกำหนดกลุ่มเป้าหมายของไดรเวอร์ที่หมดอายุใน Hardware Development Center

Microsoft จะเริ่มจากการลบไดรเวอร์รุ่นเก่าออกก่อน และจะค่อย ๆ ขยายไปยังหมวดหมู่อื่น ๆ ที่สามารถลบได้เพื่อเพิ่มความปลอดภัย อย่างไรก็ตาม พาร์ทเนอร์ยังสามารถนำไดรเวอร์ที่ถูก Microsoft ลบออกในกระบวนการ clean-up นี้กลับมาเผยแพร่ใหม่ได้ หากพวกเขาสามารถให้เหตุผลทางธุรกิจที่สมเหตุสมผลได้

Microsoft ระบุเพิ่มเติมอีกว่า "การที่ Microsoft นำไดรเวอร์รุ่นเก่าออกจาก Windows Update เป็นมาตรการเชิงรุกเพื่อปกป้องความปลอดภัย และปรับปรุงคุณภาพของไดรเวอร์สำหรับผู้ใช้ Windows"

"จากนี้ไป คาดว่าการ cleanup นี้จะกลายเป็นแนวทางปฏิบัติที่เป็นกิจวัตรประจำ และเตรียมพบกับแนวทางการเผยแพร่ไดรเวอร์รูปแบบใหม่ ที่จะช่วยให้ผู้ใช้ Windows ทุกคนสามารถรักษาระบบของตนให้อยู่ในสถานะที่ปลอดภัย และเชื่อถือได้"

เมื่อเดือนพฤษภาคมที่ผ่านมา Microsoft ยังได้ประกาศการเปลี่ยนแปลงเกี่ยวกับการรับรองไดรเวอร์ในเวอร์ชันทดสอบ (pre-production) ซึ่งเป็นผลมาจากการที่ Certificate Authorities - CAs บางรายกำลังจะหมดอายุในเดือนกรกฎาคมที่จะถึงนี้ รวมถึงการยุติให้บริการ Windows Metadata and Internet Services (WMIS) และ Metadata ของอุปกรณ์

นอกจากนี้ เมื่อต้นสัปดาห์ที่ผ่านมา Microsoft ยังได้เปิดตัวการตั้งค่าความปลอดภัยเริ่มต้นใหม่สำหรับ Windows 365 Cloud PC และจะอัปเดตค่าความปลอดภัยเริ่มต้นสำหรับผู้ใช้ Microsoft 365 ทั้งหมดในเดือนกรกฎาคมที่จะถึงนี้ เพื่อบล็อกการเข้าถึงไฟล์ใน SharePoint, OneDrive และ Office โดยใช้โปรโตคอลการยืนยันตัวตนแบบเก่า (legacy authentication protocols) อีกด้วย

 

ที่มา : bleepingcomputer.

Microsoft Outlook จะขยายการบล็อกไฟล์แนบที่มีความเสี่ยงซึ่งถูกใช้ในการโจมตีมากขึ้น

 

Microsoft ประกาศปรับปรุงนโยบายความปลอดภัยใน Outlook Web และ Outlook เวอร์ชันใหม่สำหรับ Windows โดยตั้งแต่เดือนกรกฎาคม 2025 ไฟล์แนบประเภท .library-ms และ .search-ms จะถูกเพิ่มเข้าในรายการ BlockedFileTypes ตามการอัปเดตใน Microsoft 365 Message Center โดยอัตโนมัติ (more…)

แฮ็กเกอร์ใช้ช่องโหว่ใน OAuth 2.0 workflows เพื่อแฮ็กบัญชี Microsoft 365

กลุ่มแฮ็กเกอร์จากรัสเซีย ใช้ช่องโหว่ OAuth 2.0 authentication เพื่อแฮ็กบัญชี Microsoft 365 ของพนักงานในองค์กรที่เกี่ยวข้องกับยูเครน และองค์กรด้านสิทธิมนุษยชน

ผู้โจมตีแอบอ้างตัวเป็นเจ้าหน้าที่จากประเทศในยุโรป และติดต่อเป้าหมายผ่านแอปส่งข้อความอย่าง WhatsApp และ Signal โดยเป้าหมายคือการโน้มน้าวให้เหยื่อใส่รหัส authorization codes สำหรับ Microsoft หรือทำการคลิกลิงก์อันตราย เพื่อเก็บข้อมูลการล็อกอิน และรหัสผ่านแบบ One-Time Codes

บริษัทด้านความปลอดภัยทางไซเบอร์ Volexity สังเกตเห็นพฤติกรรมนี้ตั้งแต่ช่วงต้นเดือนมีนาคม 2025 หลังจากที่เคยเกิดเหตุการณ์ในลักษณะเดียวกันนี้ในเดือนกุมภาพันธ์ ซึ่งเคยถูกรายงานโดย Volexity และ Microsoft โดยในครั้งนั้นผู้โจมตีใช้เทคนิคฟิชชิงผ่าน Device Code Authentication เพื่อขโมยบัญชี Microsoft 365

Volexity ได้ติดตามกลุ่มผู้โจมตีที่อยู่เบื้องหลังการโจมตีทั้งสองแคมเปญในชื่อ UTA0352 และ UTA0355 และประเมินด้วยความมั่นใจในระดับปานกลางว่าทั้งสองกลุ่มเป็นชาวรัสเซีย

ลำดับการโจมตี

ในรายงานที่เผยแพร่วันที่ 25 เมษายน 2025 นักวิจัยได้อธิบายว่า การโจมตีเริ่มต้นจากการส่งข้อความผ่านแอปพลิเคชัน Signal หรือ WhatsApp

โดย Volexity ระบุว่า ในบางกรณี ข้อความดังกล่าวถูกส่งมาจากบัญชีของรัฐบาลยูเครนที่ถูกโจมตี

โดยผู้โจมตีจะแอบอ้างเป็นเจ้าหน้าที่ทางการเมืองของยุโรป หรือเจ้าหน้าที่การทูตของยูเครน และหลอกเป้าหมายด้วยคำเชิญให้เข้าร่วมการประชุมวิดีโอส่วนตัวเพื่อหารือเกี่ยวกับประเด็นที่เกี่ยวข้องกับยูเครน

เมื่อสามารถสร้างช่องทางการสื่อสารกับเป้าหมายได้แล้ว ผู้โจมตีจะส่ง phishing URL ในรูปแบบ OAuth โดยอ้างว่าเป็นลิงก์ที่จำเป็นสำหรับเข้าร่วมการประชุม

กลุ่ม UTA0352 อาจส่งคำแนะนำในการเข้าร่วมประชุมในรูปแบบไฟล์ PDF พร้อมกับลิงก์อันตรายที่ถูกออกแบบมาให้ใช้สำหรับล็อกอินเข้าสู่ระบบ Microsoft และแอปของ third-party ซึ่งใช้ในขั้นตอน OAuth ของ Microsoft 365

หลังจากเป้าหมายทำการยืนยันตัวตนเรียบร้อยแล้ว นักวิจัยระบุว่า จะมีการเปลี่ยนเส้นทางผู้ใช้ไปยัง Visual Studio Code เวอร์ชันในเบราว์เซอร์ ซึ่งโฮสต์อยู่ที่ insiders.

แอป OAuth ที่เป็นอันตรายซึ่งปลอมเป็น Adobe และ DocuSign มีเป้าหมายเพื่อโจมตีบัญชี Microsoft 365

อาชญากรไซเบอร์กำลังโปรโมตแอป Microsoft OAuth ที่เป็นอันตราย โดยปลอมตัวเป็นแอปของ Adobe และ DocuSign เพื่อติดตั้งมัลแวร์ และขโมยข้อมูล credentials ของบัญชี Microsoft 365

แคมเปญเหล่านี้ถูกพบโดยนักวิจัยจาก Proofpoint ซึ่งโพสต์ผ่านบน X โดยระบุว่า การโจมตีนี้เป็น "highly targeted" อย่างชัดเจน

แอป OAuth ที่เป็นอันตรายในแคมเปญนี้จะปลอมตัวเป็น Adobe Drive, Adobe Drive X, Adobe Acrobat และ DocuSign

แอปเหล่านี้จะขอการเข้าถึงสิทธิ์แบบ less sensitive permissions เช่น profile, email และ openid เพื่อหลีกเลี่ยงการถูกตรวจจับ และสร้างความสงสัย

หากได้รับอนุญาตให้เข้าถึงสิทธิ์เหล่านี้ ผู้โจมตีจะสามารถเข้าถึงข้อมูลต่อไปนี้

Profile : ชื่อ-นามสกุล, User ID, รูปโปรไฟล์, Username
Email : Email address หลัก (แต่ไม่สามารถเข้าถึงกล่องจดหมายได้)
Openid : ช่วยให้สามารถยืนยันตัวตนของผู้ใช้ และดึงข้อมูลรายละเอียดบัญชี Microsoft ได้

Proofpoint ให้ข้อมูลกับ BleepingComputer ว่า แคมเปญฟิชชิ่งเหล่านี้ถูกส่งจากองค์กรการกุศล หรือบริษัทขนาดเล็กที่ถูกโจมตีบัญชีอีเมล ซึ่งน่าจะเป็นบัญชี Office 365

อีเมลฟิชชิ่งเหล่านี้มุ่งเป้าไปยังหลายอุตสาหกรรมในสหรัฐอเมริกา และยุโรป รวมไปถึง government, healthcare, supply chain และ retail โดยอีเมลบางฉบับที่ Proofpoint พบ มีการใช้เทคนิคหลอกล่อผู้ใช้งาน เช่น RFPs และ สัญญาทางธุรกิจ เพื่อหลอกให้ผู้รับคลิกลิงก์

แม้ว่าสิทธิ์ที่ได้รับจากแอป Microsoft OAuth จะให้ข้อมูลกับผู้โจมตีเพียงบางส่วน แต่ข้อมูลดังกล่าวก็สามารถนำไปใช้ในการโจมตีแบบ targeted attacks ได้

นอกจากนี้ เมื่อผู้ใช้ให้สิทธิ์แอป OAuth แล้ว ระบบจะเปลี่ยนเส้นทางผู้ใช้ไปยังหน้า Landing Page ซึ่งอาจแสดงแบบฟอร์มฟิชชิ่งเพื่อขโมย Microsoft 365 credentials หรือแพร่กระจายมัลแวร์

Proofpoint ให้ข้อมูลกับ BleepingComputer ว่า "เหยื่อจะถูก redirect หลายครั้ง และหลายขั้นตอนหลังจากการอนุญาตแอป O365 OAuth ก่อนที่จะถูกนำไปยังการติดมัลแวร์ หรือหน้าเว็บฟิชชิ่งที่อยู่เบื้องหลัง"

ในบางกรณี เหยื่อถูกเปลี่ยนเส้นทางไปยังหน้า "O365 login" ปลอม ซึ่งโฮสต์อยู่บนโดเมนที่เป็นอันตราย และภายในเวลาไม่ถึงนาทีหลังจากการอนุญาตแอป OAuth ทาง Proofpoint พบว่าจะมีการ Login เข้าสู่ระบบที่น่าสงสัยในบัญชีของเหยื่อ

Proofpoint ระบุว่า ไม่สามารถระบุได้ว่ามัลแวร์ที่ถูกแพร่กระจายเป็นมัลแวร์แบบใด แต่พบว่าผู้โจมตีใช้เทคนิค ClickFix ซึ่งเป็นเทคนิคหนึ่งในการโจมตีแบบ Social Engineering ที่ได้รับความนิยมอย่างมากในช่วงปีที่ผ่านมา

การโจมตีเหล่านี้คล้ายกับเหตุการณ์ที่เคยถูกรายงานเมื่อหลายปีก่อน แสดงให้เห็นว่าแอป OAuth ยังคงเป็นวิธีที่มีประสิทธิภาพในการเข้าควบคุมบัญชี Microsoft 365 โดยไม่ต้องขโมยข้อมูล credentials

ขอแนะนำให้ผู้ใช้งานระมัดระวัง permission requests จากแอป OAuth และตรวจสอบแหล่งที่มา รวมถึงความน่าเชื่อถือของแอปก่อนที่จะอนุมัติการให้สิทธิ์

หากต้องการตรวจสอบการอนุมัติที่มีอยู่แล้ว ให้ไปที่ 'My Apps' (myapplications.

การแจ้งเตือนการโจมตีแบบฟิชชิ่งใน Microsoft Teams จะถูกส่งถึงผู้ใช้ทุกคนภายในเดือนหน้า

Microsoft แจ้งเตือนผู้ดูแลระบบ Microsoft 365 ว่าฟีเจอร์ใหม่ในการป้องกันการปลอมแปลงแบรนด์สำหรับ Teams Chat จะพร้อมใช้งานสำหรับลูกค้าทุกคนภายในกลางเดือนกุมภาพันธ์ 2025

เมื่อเปิดใช้งาน ฟีเจอร์นี้จะแสดงการแจ้งเตือนเมื่อตรวจพบการโจมตีฟิชชิ่งที่มุ่งเป้าไปยังองค์กรที่เปิดใช้งานการเข้าถึง Teams จากภายนอก (ซึ่งอนุญาตให้ผู้ไม่หวังดีส่งข้อความหาผู้ใช้จากโดเมนภายนอก) (more…)

CISA ประกาศข้อบังคับให้หน่วยงานรัฐบาลกลางดำเนินการรักษาความปลอดภัย Microsoft 365 Tenants

หน่วยงานรักษาความปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐอเมริกา (CISA) ได้ออกคำสั่งปฏิบัติภาคบังคับ (Binding Operational Directive - BOD 25-01) เพื่อให้หน่วยงานของรัฐบาลกลางได้นำไปปฏิบัติเพื่อรักษาความปลอดภัยให้กับระบบคลาวด์ (more…)

ข้อผิดพลาดใน Microsoft Outlook ทำให้ไม่สามารถเข้าสู่ระบบอีเมลได้ และทำให้แอปพลิเคชันหยุดทำงาน

Microsoft กำลังตรวจสอบข้อผิดพลาดใน Outlook ที่ทำให้แอปพลิเคชันบนเดสก์ท็อปเกิดการขัดข้อง, ใช้ทรัพยากรระบบสูง และทำให้ผู้ใช้งานไม่สามารถเข้าสู่ระบบบัญชีของตนได้ (more…)

บริการใหม่ของ Mamba สามารถ Bypass 2FA โดยมุ่งเป้าไปที่บัญชี Microsoft 365

แพลตฟอร์ม phishing-as-a-service (PhaaS) ที่เกิดขึ้นใหม่ชื่อว่า Mamba 2FA ถูกตรวจพบว่ากำลังมุ่งเป้าไปที่บัญชี Microsoft 365 ในการโจมตีแบบAiTM โดยใช้หน้าเข้าสู่ระบบที่ออกแบบมาอย่างดี (more…)

Microsoft Exchange Online แจ้งเตือน Email ว่าเป็นมัลแวร์โดยผิดพลาด

Microsoft กำลังสืบสวนปัญหา false positive ของ Exchange Online ที่ทำให้อีเมลที่มีรูปภาพแนบ ถูกแจ้งเตือนว่าเป็นอันตราย และส่งไปยัง quarantine

โดย Microsoft ได้ระบุถึงการรับทราบปัญหาดังกล่าวแล้วใน Microsoft 365 admin center ว่า "ข้อความอีเมลของผู้ใช้ที่มีรูปภาพอาจถูกระบุว่าเป็นมัลแวร์ และถูก quarantine อย่างไม่ถูกต้อง บริษัทกำลังทำการตรวจสอบติดตามเพื่อหาสาเหตุที่แท้งจริง และพัฒนาแผนการแก้ไข"

ปัญหาดังกล่าวถูกติดตามในชื่อ EX873252 ซึ่งยังส่งผลกระทบต่อข้อความที่มีลายเซ็นเป็นรูปภาพด้วย รวมถึงปัญหาดังกล่าวจะส่งผลต่อการรับส่งข้อมูลขาออกเท่านั้น โดยเฉพาะสำหรับการตอบกลับ และส่งต่ออีเมลที่มาจากภายนอกก่อนหน้านี้เท่านั้น แต่ยังมีผู้ดูแลระบบบางคนที่พบว่าปัญหาดังกล่าวส่งผลกระทบทั้งขาเข้า และภายในองค์กร

ปัจจุบัน Microsoft ได้แก้ไขปัญหาดังกล่าวแล้ว และได้นำดำเนินมาตรการย้ายอีเมลที่ถูกติดแท็กผิดพลาด false positive ว่าเป็นอันตรายออกจาก quarantine ทั้งหมดแล้ว

Microsoft ยังไม่ได้เปิดเผยว่าภูมิภาคใดบ้างที่ได้รับผลกระทบจากปัญหานี้ และได้ให้คำแนะนำในการลดผลกระทบแก่ลูกค้าที่ได้รับผลกระทบแล้ว

ในเดือนตุลาคม 2023 ทาง Microsoft ได้แก้ไขปัญหาที่คล้ายคลึงกันนี้ ซึ่งเกิดจาก anti-spam rule ที่มีข้อบกพร่องทำให้กล่องจดหมายของผู้ดูแลระบบ Microsoft 365 เต็มไปด้วย blind carbon copies (BCC) ของอีเมลขาออกที่ถูกทำเครื่องหมายว่าเป็น spam โดยผิดพลาด

ที่มา : bleepingcomputer

ชุดเครื่องมือฟิชชิ่งแบบใหม่สามารถ Bypass MFA ได้ กำลังมุ่งเป้าไปที่บัญชี Microsoft 365 และ Gmail

เหล่าอาชญากรไซเบอร์หันมาใช้แพลตฟอร์มฟิชชิ่งรูปแบบใหม่ที่ชื่อว่า "Tycoon 2FA" ซึ่งเป็นบริการฟิชชิ่งสำเร็จรูป (PhaaS) มากขึ้น เพื่อมุ่งเป้าโจมตีบัญชี Microsoft 365 และ Gmail โดยชุดเครื่องมือนี้สามารถ bypass การยืนยันตัวตนแบบ 2 ขั้นตอน (2FA) ได้อีกด้วย

Tycoon 2FA ถูกพบโดยนักวิเคราะห์จาก Sekoia ในเดือนตุลาคม 2023 ระหว่างการตรวจสอบภัยคุกคามตามปกติ แต่ชุดเครื่องมือนี้มีการใช้งานมาตั้งแต่เดือนสิงหาคม 2023 เป็นอย่างน้อยโดยกลุ่ม Saad Tycoon ซึ่งให้บริการผ่านช่องทาง Telegram ส่วนตัว

ชุดเครื่องมือ PhaaS นี้ มีความคล้ายคลึงกับแพลตฟอร์ม AitM (Adversary-in-the-Middle) อื่น ๆ เช่น Dadsec OTT ซึ่งแสดงให้เห็นว่าอาจมีการนำโค้ดมาใช้ซ้ำ หรือเป็นการทำงานร่วมกันระหว่างนักพัฒนา

ในปี 2024 Tycoon 2FA ได้เปิดตัวเวอร์ชันใหม่ที่แอบแฝงได้แนบเนียนยิ่งขึ้น ซึ่งแสดงให้เห็นถึงความพยายามอย่างต่อเนื่องในการพัฒนาชุดเครื่องมือฟิชชิ่งนี้ให้มีประสิทธิภาพมากขึ้น ปัจจุบันบริการนี้มีโดเมนที่ใช้งานมากกว่า 1,100 โดเมน และถูกนำไปใช้ในการโจมตีฟิชชิ่งหลายพันครั้ง

 

การโจมตี Tycoon 2FA

การโจมตีด้วย Tycoon 2FA เป็นกระบวนการหลายขั้นตอนที่ผู้โจมตีทำการขโมยคุกกี้เซสชันโดยใช้เซิร์ฟเวอร์ reverse proxy ซึ่งทำหน้าที่เป็นโฮสต์เว็บฟิชชิ่ง เว็บฟิชชิ่งเหล่านี้จะดักจับข้อมูลที่ผู้เสียหายกรอกเข้าไป และส่งต่อข้อมูลนั้นไปยังบริการที่ถูกต้อง

บริษัท Sekoia อธิบายว่า "เมื่อผู้ใช้ผ่านการยืนยันตัวตนแบบหลายปัจจัย (MFA) สำเร็จ เซิร์ฟเวอร์ reverse proxy จะทำการขโมยคุกกี้เซสชันของผู้ใช้งานไป" ด้วยวิธีนี้ผู้โจมตีสามารถนำเซสชันของผู้ใช้ไปใช้ต่อได้อีกครั้ง ส่งผลให้สามารถ bypass การยืนยันตัวตนแบบหลายปัจจัย (MFA) ได้

รายงานของ Sekoia แบ่งการโจมตีด้วย Tycoon 2FA ออกเป็น 7 ขั้นตอน ดังนี้:

Stage 0 : ผู้โจมตีจะกระจายลิงก์เว็บฟิชชิ่งไปยังเหยื่อผ่านทางอีเมลที่ฝัง URL หรือรหัส QR โดยปลอมแปลงเป็นองค์กรที่น่าเชื่อถือ
Stage 1 : ผู้โจมตีใช้ระบบกรองความเป็นมนุษย์ (CAPTCHA) แบบพิเศษอย่าง Cloudflare Turnstile เพื่อกรองโปรแกรม Bot ออก ให้เหลือเฉพาะผู้ใช้งานจริงเท่านั้นที่จะเข้าถึงเว็บฟิชชิ่งได้
Stage 2 : สคริปต์เบื้องหลังของเว็บฟิชชิ่ง จะทำการดึงข้อมูลอีเมลของเหยื่อจาก URL เพื่อปรับแต่งสำหรับการโจมตีแบบฟิชชิ่ง
Stage 3 : เหยื่อจะถูกนำไปยังอีกส่วนหนึ่งของเว็บฟิชชิ่งโดยที่ไม่รู้ตัว ซึ่งการกระทำนี้จะพาเหยื่อเข้าใกล้หน้าเข้าสู่ระบบปลอมมากขึ้น
Stage 4 : ในขั้นตอนนี้จะแสดงหน้าเข้าสู่ระบบปลอมของ Microsoft เพื่อขโมยข้อมูลรับรอง (credentials) โดยใช้ WebSockets ในการแอบส่งข้อมูลออกไป
Stage 5 : ชุดเครื่องมือนี้จะเลียนแบบการยืนยันตัวตนแบบสองปัจจัย (2FA) โดยดักจับรหัสโทเค็น หรือการตอบสนองของ 2FA เพื่อ bypass การรักษาความปลอดภัย
Stage 6 : ในที่สุด เหยื่อจะถูกนำทางไปยังหน้าเว็บที่ดูเหมือนเป็นหน้าเว็บที่ถูกต้อง เพื่อซ่อนความสำเร็จของการโจมตีฟิชชิ่ง

ภาพรวมของการโจมตีอธิบายไว้ด้วยแผนภาพด้านล่างนี้ซึ่งรวมถึงขั้นตอนทั้งหมดของกระบวนการ

พัฒนาการ และขอบเขตของเว็บฟิชชิ่ง

บริษัท Sekoia รายงานว่า Tycoon 2FA ซึ่งเป็นชุดเครื่องมือฟิชชิ่งเวอร์ชันล่าสุดที่เปิดตัวในปีนี้ มีการปรับปรุงเปลี่ยนแปลงอย่างมาก ช่วยยกระดับประสิทธิภาพในการฟิชชิ่ง และหลีกเลี่ยงการตรวจจับ

การเปลี่ยนแปลงสำคัญประกอบด้วย การปรับปรุงโค้ด JavaScript และ HTML, การเปลี่ยนลำดับการดึงข้อมูล และการกรองข้อมูลที่เข้มงวดขึ้นเพื่อบล็อกการเข้าถึงเว็บไซต์จากบอท และเครื่องมือวิเคราะห์

ตัวชุดเครื่องมือตอนนี้เลื่อนการโหลดการเข้าถึงหน้าฟิชชิ่งไปจนกระทั่งหลังจากที่ผ่านการตรวจสอบจาก Cloudflare Turnstile โดยใช้ชื่อ URL ที่เป็นเลขสุ่มเพื่อปิดการทำงาน

นอกจากนี้ ระบบรักษาความปลอดภัยยังสามารถระบุ traffic จาก Tor network ที่เชื่อมโยงกับศูนย์ข้อมูลได้ดียิ่งขึ้น ในขณะเดียวกันก็มีการบล็อกการเข้าถึงเว็บไซต์จากโปรแกรมโดยอิงตาม user-agent strings ที่เฉพาะเจาะจง

เกี่ยวกับขอบเขตของการดำเนินการ Sekoia รายงานว่ามีขนาดใหญ่อย่างมากเนื่องจากมีหลักฐานแสดงถึงผู้ใช้งานหลากหลายที่มีพฤติกรรมในลักษณะที่กำลังใช้ Tycoon 2FA สำหรับการดำเนินการฟิชชิ่ง

กระเป๋า Bitcoin ที่เชื่อมโยงกับผู้ดำเนินการ มีธุรกรรมมากกว่า 1,800 รายการตั้งแต่ตุลาคม 2019 โดยมีจำนวนธุรกรรมเพิ่มขึ้นอย่างเห็นได้ชัดตั้งแต่เดือนสิงหาคม 2023 ซึ่งเป็นช่วงเวลาที่เครื่องมือนี้เปิดตัว

มีธุรกรรมมากกว่า 530 รายการที่มีมูลค่าเกิน 120 ดอลลาร์ ซึ่งเป็นราคาเริ่มต้นสำหรับลิงก์การโจมตีฟิชชิ่งในระยะเวลา 10 วัน โดยถึงกลางเดือนมีนาคม 2024 กระเป๋าเงินของผู้โจมตีได้รับเงินสดรวมมูลค่า 394,015 ดอลลาร์

Tycoon 2FA เป็นเพียงการพัฒนาล่าสุดใน PhaaS ที่มีตัวเลือกมากมายสำหรับอาชญากรไซเบอร์ แพลตฟอร์มที่มีชื่อเสียงอื่นที่สามารถหลบหลีกการป้องกัน 2FA ได้ เช่น LabHost, Greatness, และ Robin Banks

Sekoia ให้ข้อมูลเกี่ยวกับ indicators of compromise (IoCs) ที่เชื่อมโยงกับการทำงานของ Tycoon 2FA ที่มีรายการมากกว่า 50 รายการ

https://github.