การแพร่กระจายของชุดเครื่องมือฟิชชิง Tycoon 2FA ถือเป็นภัยคุกคามร้ายแรงต่อองค์กรทั่วโลก เนื่องจากชุดเครื่องมือสำเร็จรูปลักษณะนี้ถูกออกแบบมาให้ใช้งานได้ง่าย แม้แต่ผู้ที่ไม่มีความเชี่ยวชาญก็สามารถใช้เพื่อ Bypass ระบบยืนยันตัวตนหลายปัจจัย (MFA) และแอปยืนยันตัวตนที่องค์กรต่าง ๆ ใช้อยู่ ซึ่งปัจจุบันพบการนำมาใช้งานอย่างแพร่หลาย

จนถึงปีนี้ มีการติดตามการโจมตีไปแล้วมากกว่า 64,000 ครั้ง โดยหลายครั้งมุ่งเป้าไปที่ Microsoft 365 และ Gmail เพราะแพลตฟอร์มเหล่านี้คือเส้นทางที่ง่าย และรวดเร็วที่สุดในการเจาะเข้าสู่องค์กร

ฟิชชิงแบบ Service พร้อมใช้ ไม่ต้องมีทักษะใด ๆ

ความสามารถของ Tycoon 2FA อยู่ที่การไม่ต้องใช้ทักษะทางเทคนิค เนื่องจากมันเป็นชุดเครื่องมือ "Phishing as a Service" ที่พร้อมใช้งาน ฟังก์ชันครบถ้วน และเป็นระบบอัตโนมัติ แม้แต่ผู้ที่ไม่มีพื้นฐานการเขียนโค้ดก็สามารถใช้งานได้ ชุดเครื่องมือนี้จะแนะนำผู้ใช้ตั้งแต่การตั้งค่า การจัดเตรียมหน้าล็อกอินปลอม ไปจนถึงการเปิดเซิร์ฟเวอร์ reverse proxy ให้พร้อมใช้งาน

ชุดเครื่องมือจะทำทุกอย่างที่ยุ่งยากแทนผู้โจมตีทั้งหมด เหลือเพียงให้ผู้โจมตีส่งลิงก์ไปยังเหยื่อ แล้วรอแค่คนใดคนหนึ่งถูกหลอกเท่านั้น

Real-Time MFA Relay และการขโมยเซสชัน

Tycoon 2FA จะดำเนินการทันทีที่เหยื่อหลงกล โดยระบบจะดักจับชื่อผู้ใช้ และรหัสผ่านแบบเรียลไทม์, จัดเก็บ session cookies, และทำหน้าที่เป็นพร็อกซีในขั้นตอนที่ MFA ถูกส่งไปยัง Microsoft หรือ Google เหยื่อจะเข้าใจว่าตนเองกำลังดำเนินการยืนยันตัวตนตามปกติ แต่ในความเป็นจริงแล้ว พวกเขากำลังยืนยันตัวตนให้กับผู้โจมตี

ส่วนที่อันตรายที่สุดคือผู้ใช้ที่ได้รับการฝึกอบรมมาอย่างดีก็ยังอาจตกเป็นเหยื่อได้ เพราะทุกอย่างดูสมจริง หน้าเว็บเป็นแบบไดนามิก และสามารถแสดงผลข้อมูล responses จากเซิร์ฟเวอร์จริงได้

ตัวอย่างเช่น หาก Microsoft ขอให้กรอกรหัส หน้าเว็บก็จะอัปเดตทันที หรือถ้า Google ส่งข้อความแจ้ง (prompt) มันก็จะปรากฏขึ้นตามที่ควรจะเป็น

ไม่มีอะไรแตกต่างให้สังเกตเห็นได้ ไม่มีร่องรอยใด ๆ และไม่มีวิธีการใดที่ MFA แบบเดิม หรือแอปยืนยันตัวตนจะสามารถป้องกันการโจมตีนี้ได้ เนื่องจาก Tycoon ถูกออกแบบมาให้เป็นผู้โจมตีแบบ Man-in-the-Middle โดยตรง

ออกแบบมาเพื่อหลีกเลี่ยงการตรวจจับ

Tycoon 2FA มาพร้อมกับชั้นของการป้องกันการตรวจจับที่เทียบเท่ากับมัลแวร์ระดับสูงหลายตัว โดยใช้เทคนิคต่าง ๆ เช่น การเข้ารหัส Base64, การบีบอัดแบบ LZ string, เทคนิค DOM vanishing, การทำให้โค้ดอ่านไม่ออกด้วย CryptoJS, ระบบกรอง Bot อัตโนมัติ, CAPTCHA และการตรวจจับเครื่องมือ Debugging

ชุดเครื่องมือนี้จะซ่อนพฤติกรรมตัวเองจากเครื่องมือ Scan และนักวิจัยทุกวิถีทาง มันจะแสดงพฤติกรรมจริงก็ต่อเมื่อเป้าหมายเป็นมนุษย์จริง ๆ เท่านั้น และเมื่อมันทำขั้นตอนการยืนยันตัวตนสำเร็จ ผู้โจมตีก็จะได้สิทธิ์เข้าถึงเซสชันเต็มรูปแบบภายใน Microsoft 365 หรือ Gmail

จากจุดเริ่มต้นนั้น ผู้โจมตีสามารถขยายผลการโจมตีไปยังระบบต่าง ๆ ได้อย่างกว้างขวาง เช่น SharePoint, OneDrive, อีเมล, Teams, ระบบ HR, ระบบการเงิน และอื่น ๆ อีกมากมาย การฟิชชิงที่ประสบความสำเร็จเพียงครั้งเดียวอาจนำไปสู่การถูกเจาะระบบทั้งหมดได้

MFA แบบดั้งเดิมอาจไม่เพียงพอแล้ว

สาเหตุที่ MFA แบบดั้งเดิมไม่เพียงพอ เพราะรหัส SMS, การแจ้งเตือนแบบกดอนุมัติ (push) และแอป TOTP ล้วนมีจุดอ่อนเดียวกัน เนื่องจากขึ้นอยู่กับพฤติกรรมของผู้ใช้ และความคาดหวังว่าผู้ใช้จะสังเกตเห็นสิ่งผิดปกติด้วยตนเอง

ระบบเหล่านี้ใช้กลไกที่ผู้โจมตีสามารถดักจับ ส่งต่อ หรือนำมาใช้ซ้ำได้ Tycoon 2FA และเครื่องมืออีกนับสิบชนิดโจมตีจากช่องโหว่นี้ตรง ๆ พวกมันเปลี่ยนผู้ใช้ให้กลายเป็นช่องทางโจมตี และแม้แต่ passkey ก็เริ่มถูกเจาะได้แล้ว เมื่อมีการซิงก์ผ่านบัญชีคลาวด์ หรือมีช่องทางกู้คืน (recovery) ที่สามารถขโมยข้อมูลแบบ social engineering ได้

ผู้โจมตีเข้าใจเรื่องนี้ดีมาก กลุ่มอาชญากรรมอย่าง Scattered Spider, Octo Tempest และ Storm 1167 ใช้ชุดเครื่องมือเหล่านี้ทุกวัน มันคือวิธีโจมตีที่เพิ่มขึ้นเร็วที่สุดในโลก เพราะใช้ง่าย ขยายผลได้มาก และไม่ต้องการทักษะใด ๆ

หลายบริษัทเร่งนำระบบยืนยันตัวตนแบบหลายปัจจัย (MFA) และแอปยืนยันตัวตนมาใช้ แต่กลับพบว่าระบบเหล่านี้อาจไม่เพียงพอเมื่อเจอกับชุดเครื่องมือฟิชชิงที่ออกแบบมาโดยเฉพาะ หากผู้โจมตีสามารถหลอกให้ผู้ใช้งานกรอกรหัส หรืออนุมัติคำขอได้ ผู้โจมตีก็จะประสบความสำเร็จ ซึ่ง Tycoon ทำสิ่งนี้ได้อย่างแม่นยำ

ขั้นต่อไป MFA ที่ฟิชชิงไม่ได้จริง ๆ

ยังมีวิธีการแก้ไขที่ชัดเจน และสามารถเริ่มใช้งานได้รวดเร็ว นั่นคือระบบยืนยันตัวตนที่ป้องกันฟิชชิงด้วยข้อมูล biometric บนฮาร์ดแวร์ FIDO2 โดยใช้การยืนยันตัวตนแบบ proximity based, domain bound และไม่สามารถถูกรีเลย์ หรือปลอมแปลงได้ ระบบที่ไม่มีรหัสให้กรอก ไม่มีการอนุมัติแจ้งเตือน ไม่มี shared secrets ที่ถูกดักจับได้ และไม่มีวิธีใดที่หลอกให้ผู้ใช้งานช่วยผู้โจมตีได้อีกต่อไป

ระบบที่ปฏิเสธเว็บไซต์ปลอมโดยอัตโนมัติ ระบบที่บังคับให้มีการยืนยันแบบไบโอเมตริกซ์บนอุปกรณ์จริง ซึ่งต้องอยู่ใกล้คอมพิวเตอร์ที่กำลังล็อกอินเท่านั้น

ทั้งหมดนี้เปลี่ยนเกมไปอย่างสิ้นเชิง เพราะมันนำผู้ใช้ออกจากกระบวนการตัดสินใจ แทนที่จะหวังให้คนรู้ทันหน้าเว็บปลอม ตัวอุปกรณ์ยืนยันตัวตนจะตรวจสอบแหล่งที่มาแบบเข้ารหัสเอง

แทนที่จะหวังว่าผู้ใช้จะปฏิเสธการแจ้งเตือนที่เป็นอันตราย อุปกรณ์ยืนยันตัวตนจะไม่มีทางได้รับแจ้งเตือนแบบนั้นตั้งแต่แรก

โมเดลของโทเคน

นี่คือโมเดลที่อยู่เบื้องหลัง Token Ring และ Token BioStick ซึ่งป้องกันฟิชชิงด้วยสถาปัตยกรรม บังคับใช้ไบโอเมตริกซ์เป็นค่าเริ่มต้น อิงตาม Proximity based และผูกกับโดเมนผ่านการเข้ารหัส

การโจมตีจะไม่สำเร็จ เพราะไม่มีโค้ดให้ขโมย ไม่มีการอนุมัติให้หลอกลวง และไม่มีขั้นตอนกู้คืนบัญชีให้มิจฉาชีพใช้โจมตีได้เลย ต่อให้ผู้ใช้พลาดคลิกลิงก์น่าสงสัย หรือแม้แต่บอกรหัสผ่านออกไป (ถ้ายังมีรหัส) หรือโดน Social Engineering ที่แอบอ้างเป็นฝ่ายไอทีโทรมาหลอก การยืนยันตัวตนก็จะไม่สำเร็จอยู่ดี เพราะระบบจะตรวจสอบว่าโดเมนไม่ตรง และไม่มีการยืนยันไบโอเมตริกซ์บนอุปกรณ์จริง

องค์กรที่ใช้อุปกรณ์เหล่านี้พบว่าพนักงานยอมรับได้ง่ายมากกับโซลูชันไร้รหัสผ่านลักษณะนี้ การยืนยันตัวตนทำได้เร็ว (เพียง 2 วินาที) ไม่ต้องจำอะไร ไม่ต้องพิมพ์อะไร ไม่ต้องกดยืนยันอะไร มอบประสบการณ์ผู้ใช้ที่ดีกว่า และสร้างมาตรการความปลอดภัยที่แข็งแกร่งยิ่งกว่าเดิมมาก

ความจริงที่ทุกองค์กรต้องยอมรับ

ทุกองค์กรต้องยอมรับว่าผู้โจมตีได้พัฒนาไปอีกขั้นแล้ว และระบบป้องกันก็ต้องพัฒนาตามให้ทัน การยืนยันตัวตนแบบหลายปัจจัย (MFA) แบบเดิม ๆ รวมถึงแอปยืนยันตัวตน (Authenticator Apps) และแม้แต่ Passkey ก็ไม่อาจป้องกันภัยคุกคามนี้ได้ ดังที่ Tycoon 2FA ได้แสดงให้เห็นว่า ระบบใดก็ตามที่ยังต้องการให้ผู้ใช้ "กรอก" หรือ "กดอนุมัติ" จะสามารถถูกเจาะระบบได้ภายในเวลาไม่กี่วินาที

ที่มา : bleepingcomputer

Checkout.com บริษัทเทคโนโลยีด้านการเงินจากสหราชอาณาจักรประกาศว่า กลุ่มผู้โจมตีที่ชื่อ ShinyHunters ได้โจมตีระบบจัดเก็บข้อมูลบนคลาวด์เวอร์ชันเก่าของบริษัท และกำลังข่มขู่เพื่อเรียกค่าไถ่อยู่ในขณะนี้ (more…)

ศูนย์ความมั่นคงปลอดภัยทางไซเบอร์แห่งชาติสวิส (NCSC) กำลังเตือนเจ้าของ iPhone เกี่ยวกับข้อความหลอกลวงที่อ้างว่าพบ iPhone ที่สูญหาย หรือถูกขโมยไป แต่แท้จริงแล้วพยายามที่จะขโมยข้อมูล credentials ของ Apple ID ของคุณ

เมื่อลูกค้า iPhone ทำโทรศัพท์หาย หรือถูกขโมย พวกเขาสามารถตั้งค่าข้อความที่กำหนดเองในแอป Find My ของ Apple ซึ่งจะปรากฏบนหน้าจอล็อก เมื่อทำหาย ข้อความนี้อาจมีอีเมล หรือหมายเลขโทรศัพท์เพื่อติดต่อเจ้าของ

จากข้อมูลของ NCSC ผู้ไม่หวังดีอาจใช้ข้อมูลนี้ส่งข้อความฟิชชิ่ง (smishing) แบบเจาะจงผ่านทาง SMS หรือ iMessage ไปยังข้อมูลติดต่อที่แสดงไว้ โดยอ้างว่ามาจากทีม Find My ของ Apple และระบุว่าพบโทรศัพท์ของพวกเขาแล้ว

NCSC อธิบายว่า การทำ iPhone หายถือเป็นเรื่องที่น่ารำคาญ ไม่เพียงแต่อุปกรณ์จะหายไป แต่ข้อมูลส่วนตัวของคุณก็อาจสูญหายไปด้วย

หลังจากทำโทรศัพท์หาย คนส่วนใหญ่ยังหวังว่าจะมีคนหามันเจอ แต่ถ้ามิจฉาชีพได้โทรศัพท์ของคุณไป พวกเขาอาจพยายามใช้ประโยชน์จากความหวังนี้ โดยส่งข้อความตัวอักษร หรือ iMessages ที่ดูเหมือนว่ามาจาก Apple โดยอ้างว่า iPhone ที่หายไปถูกพบในต่างประเทศ

ข้อความฟิชชิ่งมีรายละเอียดที่น่าเชื่อถือ เช่น รุ่นของโทรศัพท์ สี และข้อมูลอื่นใดที่สามารถดึงออกมาได้โดยตรงจากอุปกรณ์ที่ล็อกอยู่

ข้อความฟิชชิ่ง ระบุว่า "เรายินดีที่จะแจ้งให้คุณทราบว่า iPhone 14 128GB สี Midnight ที่หายไปของคุณ ถูกค้นพบเรียบร้อยแล้ว"

"หากต้องการดูตำแหน่งปัจจุบันของอุปกรณ์ของคุณ โปรดคลิกลิงก์ด้านล่าง: <phishing url>"

"หากคุณไม่ได้เป็นผู้รายงานอุปกรณ์หาย หรือเชื่อว่าข้อความนี้ถูกส่งมาโดยผิดพลาด โปรดเพิกเฉยต่อข้อความนี้ หรือติดต่อทีมสนับสนุนของเราทันที"

ข้อความฟิชชิ่งมีลิงก์ไปยังเว็บไซต์ Find My ที่อ้างว่าแสดงตำแหน่งของอุปกรณ์

อย่างไรก็ตาม แทนที่จะนำไปสู่เว็บไซต์ทางการของ Apple มันกลับเปลี่ยนเส้นทางไปยังหน้าฟิชชิ่งที่มีหน้าแจ้งให้ล็อกอินซึ่งเลียนแบบเว็บไซต์ Find My ของ Apple เมื่อเหยื่อกรอก Apple ID และรหัสผ่าน ข้อมูล credentials เหล่านั้นจะถูกส่งไปยังผู้โจมตี ทำให้พวกเขาเข้าถึงบัญชีได้อย่างเต็มรูปแบบ

หน่วยงานความมั่นคงปลอดภัยทางไซเบอร์อธิบายว่า เป้าหมายที่แท้จริงของมิจฉาชีพคือการปลดล็อกการเปิดใช้งาน (Activation Lock) ของ Apple คุณสมบัติด้านความปลอดภัยนี้ใช้เพื่อเชื่อมโยง iPhone เข้ากับ Apple ID ของเจ้าของ และป้องกันไม่ให้ผู้อื่นลบข้อมูล หรือนำไปขายต่อ

เนื่องจากไม่มีวิธีในการ Bypass การล็อกนี้ อาชญากรจึงอาศัยการโจมตีแบบฟิชชิ่งเพื่อหลอกลวงให้ผู้ใช้เปิดเผยข้อมูลประจำตัวของตน

NCSC ระบุว่า ยังไม่รู้แน่ชัดว่าผู้โจมตีได้หมายเลขโทรศัพท์ของเป้าหมายมาได้อย่างไร แต่อาจมาจากซิมการ์ดในอุปกรณ์ หรือจากข้อความที่กำหนดเองที่แสดงบนหน้าจอล็อกเมื่ออุปกรณ์นั้นถูกรายงานว่าสูญหาย

หน่วยงานแนะนำให้ทำสิ่งต่อไปนี้:

ห้ามคลิกลิงก์ในข้อความที่คุณไม่ได้ร้องขอ หรือกรอกรายละเอียด Apple ID บนเว็บไซต์ภายนอก
หากอุปกรณ์สูญหาย ให้เปิดใช้งานโหมดสูญหาย (Lost Mode) ทันทีผ่านแอป Find My หรือ iCloud.

แฮ็กเกอร์กำลังใช้ LinkedIn เพื่อมุ่งเป้าโจมตีผู้บริหารทางด้านการเงิน ด้วยการโจมตีแบบฟิชชิงผ่าน direct-message โดยปลอมแปลงเป็นคำเชิญให้เข้าร่วมคณะกรรมการบริหาร โดยมีเป้าหมายเพื่อขโมยข้อมูล credentials ของ Microsoft

แคมเปญนี้ถูกตรวจพบโดย Push Security ซึ่งระบุว่าเมื่อเร็ว ๆ นี้ บริษัทได้บล็อกหนึ่งในการโจมตีแบบฟิชชิงเหล่านี้ซึ่งเริ่มต้นจากข้อความ LinkedIn ที่มีลิงก์อันตราย

BleepingComputer ได้รับข้อมูลว่า ข้อความฟิชชิงเหล่านี้อ้างว่าเป็นคำเชิญให้ผู้บริหารเข้าร่วมคณะกรรมการบริหารของกองทุนรวม 'Common Wealth' ที่จัดตั้งขึ้นใหม่

ข้อความฟิชชิงบน LinkedIn ระบุว่า "ผมรู้สึกตื่นเต้นที่จะมอบคำเชิญสุดพิเศษให้คุณเข้าร่วมเป็นคณะกรรมการบริหารของกองทุนรวม Common Wealth ในอเมริกาใต้ โดยร่วมมือกับ AMCO สาขาการจัดการสินทรัพย์ของเรา ซึ่งเป็นกองทุนร่วมลงทุนใหม่ที่โดดเด่น ซึ่งกำลังเปิดตัวกองทุนเพื่อการลงทุนในอเมริกาใต้"

ข้อความฟิชชิงเหล่านี้จะจบลงด้วยการบอกให้ผู้รับคลิกลิงก์เพื่อเรียนรู้เพิ่มเติมเกี่ยวกับโอกาสดังกล่าว

อย่างไรก็ตาม Push Security ระบุว่า เมื่อผู้รับคลิกลิงก์ พวกเขาจะถูกเปลี่ยนเส้นทางหลายขั้นตอน การเปลี่ยนเส้นทางครั้งแรกจะผ่าน Google open redirect ซึ่งจะนำไปสู่เว็บไซต์ที่ผู้โจมตีควบคุม จากนั้นจะเปลี่ยนเส้นทางไปยังหน้า landing page ที่สร้างขึ้นเองซึ่งโฮสต์อยู่บน firebasestorage.

X ออกประกาศเตือนให้ผู้ใช้ทำการลงทะเบียน security keys หรือ passkeys สำหรับ two-factor authentication (2FA) ใหม่อีกครั้งก่อนวันที่ 10 พฤศจิกายน มิเช่นนั้นผู้ใช้อาจถูกล็อกไม่ให้เข้าถึงบัญชีของตนจนกว่าจะดำเนินการลงทะเบียนใหม่

ในบนแพลตฟอร์ม X บริษัทระบุว่า การเปลี่ยนแปลงนี้จะมีผลเฉพาะกับผู้ใช้ที่ใช้ หรือ hardware-based security keys เช่น YubiKey เท่านั้น

ทั้งสองวิธีการยืนยันตัวตนนี้ จะมีการป้องกันที่แข็งแกร่งต่อการโจมตีแบบฟิชชิง โดยใช้ cryptographic keys ที่ถูกจัดเก็บไว้อย่างปลอดภัยภายในอุปกรณ์ หรือระบบปฏิบัติการในการตรวจสอบตัวตนของผู้ใช้ แทนที่จะพึ่งพาข้อมูล credentials แบบเดิมซึ่งเสี่ยงต่อการถูกขโมยจากมัลแวร์ หรือการโจมตีแบบฟิชชิง

บัญชีทางการด้านความปลอดภัย (Safety) ของ X โพสต์เมื่อสัปดาห์ที่แล้วว่า ภายในวันที่ 10 พฤศจิกายนนี้ บัญชีผู้ใช้ทั้งหมดที่ใช้ security keys เป็นวิธีการยืนยันตัวตนแบบ two-factor authentication (2FA) จะต้องทำการลงทะเบียน keys ของตนใหม่ เพื่อให้สามารถเข้าถึง X ได้ตามปกติ

ผู้ใช้มีทางเลือกลงทะเบียน security keys ใหม่ได้สองวิธีคือ ลงทะเบียน security keys ที่มีอยู่แล้วซ้ำ หรือเพิ่ม security keys ใหม่ อย่างไรก็ตาม หากเลือกเพิ่ม security keys ใหม่ keys เก่าทั้งหมดจะไม่สามารถใช้งานได้อีกต่อไปจนกว่าจะลงทะเบียนซ้ำ

หลังวันที่ 10 พฤศจิกายน บัญชีที่ไม่ได้ลงทะเบียน security keys ใหม่จะถูกล็อก การเข้าถึงบัญชีจะกลับมาเป็นปกติเมื่อผู้ใช้ลงทะเบียน security keys ใหม่ ใช้วิธี 2FA แบบอื่น หรือปิดใช้งาน 2FA ทั้งนี้ X ยังคงแนะนำให้เปิดใช้งาน 2FA เพื่อความปลอดภัยสูงสุดของบัญชี

ทั้งนี้ X ชี้แจงว่าการเปลี่ยนแปลงดังกล่าวไม่ได้เกิดจากเหตุการณ์ด้านความปลอดภัย แต่เป็นผลจากการย้ายระบบจากโดเมน twitter.

LastPass กำลังแจ้งเตือนลูกค้าว่าขณะนี้มีแคมเปญฟิชชิงที่ส่งอีเมลหลอกลวง โดยภายในอีเมลมีคำขอเข้าถึง password vaults ภายใต้ข้ออ้างว่าเป็นขั้นตอนในกระบวนการสืบทอดบัญชี

กิจกรรมดังกล่าวเริ่มต้นขึ้นราวกลางเดือนตุลาคม โดยพบว่าโดเมน และโครงสร้างพื้นฐานที่ใช้มีความเชื่อมโยงกับกลุ่มผู้โจมตีซึ่งมีแรงจูงใจทางด้านการเงินที่รู้จักกันในชื่อ CryptoChameleon (UNC5356)

กลุ่ม CryptoChameleon ใช้ชุดเครื่องมือฟิชชิงที่พัฒนาเฉพาะเพื่อขโมยสินทรัพย์ดิจิทัล โดยมุ่งเป้าไปที่กระเป๋าเงินคริปโตหลายแพลตฟอร์ม เช่น Binance, Coinbase, Kraken และ Gemini ผ่านหน้าเข้าสู่ระบบปลอมของบริการชื่อดังอย่าง Okta, Gmail, iCloud และ Outlook

ผู้ใช้ LastPass เคยถูกกลุ่มเดียวกันนี้โจมตีมาแล้วในเดือนเมษายน ปี 2024 แต่ดูเหมือนว่าแคมเปญล่าสุดจะมีความซับซ้อน และครอบคลุมมากกว่าเดิม โดยคราวนี้ยังขยายเป้าหมายไปถึง passkey อีกด้วย

อีเมลฟิชชิงที่ส่งถึงผู้ใช้ LastPass แอบอ้างว่ามีสมาชิกในครอบครัวร้องขอการเข้าถึง LastPass vault ของผู้ใช้ โดยอัปโหลด “ใบมรณบัตร” เพื่อใช้เป็นเอกสารประกอบคำขอ

กระบวนการสืบทอดสิทธิ์ของ LastPass เป็นฟีเจอร์การเข้าถึงฉุกเฉินที่อนุญาตให้บุคคลที่เจ้าของบัญชีกำหนดสามารถขอเข้าถึง password vault ของตนได้ในกรณีที่เสียชีวิต หรือทุพพลภาพ

ปกติแล้วเมื่อมีการเปิดคำขอดังกล่าว เจ้าของบัญชีจะได้รับอีเมล และหลังจากระยะเวลารอสิ้นสุดลง ผู้ติดต่อจะได้รับสิทธิ์เข้าถึงโดยอัตโนมัติ

คำขอสืบทอดปลอมดังกล่าวถูกออกแบบให้ดูน่าเชื่อถือยิ่งขึ้นด้วยการใส่ หมายเลข Agent ID เพื่อสร้างความสมจริง เพื่อให้ผู้รับรีบดำเนินการยกเลิกคำขอนั้น หากตนเอง “ยังไม่เสียชีวิต” โดยคลิกที่ลิงก์ในอีเมล

อย่างไรก็ตาม ลิงก์นั้นจะนำเหยื่อไปยังเว็บไซต์ปลอม lastpassrecovery[.]com ซึ่งมีแบบฟอร์มเข้าสู่ระบบปลอม ซึ่งหลอกให้ผู้ใช้กรอกรหัสผ่าน master password ของตนลงไป

LastPass เปิดเผยว่า ในบางกรณี ผู้โจมตีได้โทรศัพท์หาผู้เสียหายโดยแอบอ้างเป็นเจ้าหน้าที่ของบริษัท และหลอกให้เหยื่อกรอกข้อมูลเข้าสู่ระบบบนเว็บไซต์ฟิชชิงที่จัดเตรียมไว้ล่วงหน้า

บริษัทระบุเพิ่มเติมว่า หนึ่งในองค์ประกอบสำคัญของการโจมตีโดยกลุ่ม CryptoChameleon ที่มุ่งเป้าไปยังผู้ใช้ LastPass คือการใช้โดเมนฟิชชิงที่เน้นการขโมย passkey โดยเฉพาะ เช่น mypasskey[.]info และ passkeysetup[.]com ซึ่งแสดงให้เห็นถึงความพยายามในการขโมยข้อมูล passkey ของเหยื่อ

ทั้งนี้ passkey เป็นมาตรฐานการยืนยันตัวตนแบบไม่ใช้รหัสผ่าน (passwordless authentication) ที่พัฒนาบนโปรโตคอล FIDO2 / WebAuthn โดยอาศัยระบบเข้ารหัสแบบ assymmetric แทนการใช้รหัสผ่านที่ต้องจดจำ

Password managers ยุคใหม่อย่าง LastPass, 1Password, Dashlane และ Bitwarden สามารถจัดเก็บ และซิงก์ passkey ข้ามอุปกรณ์ได้แล้ว ซึ่งทำให้กลุ่มผู้ไม่หวังดีเริ่มหันมาโจมตีพวกเขาโดยตรง

ในปี 2022 LastPass ประสบเหตุข้อมูลรั่วไหลครั้งใหญ่ เมื่อผู้โจมตีขโมยข้อมูลสำรองของ password vaults ที่เข้ารหัสไว้ เหตุการณ์นี้เชื่อมโยงกับการโจมตีแบบเจาะจงเป้าหมายในภายหลัง ส่งผลให้เกิดความสูญเสียสกุลเงินดิจิทัลราว 4.4 ล้านดอลลาร์สหรัฐ

 

ที่มา : bleepingcomputer.

 

พบแคมเปญฟิชชิ่งที่มีความซับซ้อน ซึ่งใช้ประโยชน์จาก Universal Unique Identifiers (UUIDs) ที่สร้างขึ้นแบบสุ่ม โดยสามารถ Bypass Secure Email Gateways (SEGs) และหลบเลี่ยงการป้องกันในระดับ perimeter ได้สำเร็จ (more…)

ชุดเครื่องมือสำหรับการโจมตีแบบฟิชชิง และมัลแวร์ตัวใหม่ที่ชื่อว่า MatrixPDF ช่วยให้ผู้โจมตีสามารถแปลงไฟล์ PDF ทั่วไปให้เป็นเหยื่อล่อแบบ interactive ได้ ซึ่งจะ bypass การรักษาความปลอดภัยของอีเมล และเปลี่ยนเส้นทางของเหยื่อเพื่อขโมยข้อมูล credential หรือการดาวน์โหลดมัลแวร์

เครื่องมือใหม่นี้ถูกพบโดย Daniel Kelley นักวิจัยของ Varonis ซึ่งให้ข้อมูลกับ BleepingComputer ว่า MatrixPDF โดยถูกพบครั้งแรกในฟอรัมของกลุ่มแฮ็กเกอร์ โดยผู้ขายใช้ Telegram เป็นช่องทางเพิ่มเติมในการติดต่อกับผู้ซื้อ โดยโฆษณาเครื่องมือนี้ว่าเป็นเครื่องมือจำลองการโจมตีแบบฟิชชิง และเครื่องมือสำหรับ blackteaming

ข้อความโฆษณาที่แชร์กับ BleepingComputer ระบุว่า MatrixPDF: Document Builder - Advanced PDF Phishing with JavaScript Actions เป็นเครื่องมือสำหรับการสร้างไฟล์ PDF สำหรับจำลองการโจมตีแบบฟิชชิงที่เสมือนจริง ซึ่งถูกปรับแต่งมาสำหรับ black team และการฝึกอบรมสร้างความตระหนักด้านความปลอดภัยไซเบอร์”

“ด้วยการนำเข้าไฟล์ PDF แบบ drag-and-drop การแสดงตัวอย่างแบบเรียลไทม์ และ Security overlays ที่ปรับแต่งได้ MatrixPDF จึงสามารถจำลองสถานการณ์การโจมตีแบบฟิชชิงได้อย่างมืออาชีพ”

“ระบบป้องกันในตัว เช่น การเบลอเนื้อหา, กลไกการเปลี่ยนเส้นทางที่ปลอดภัย, Metadata Encryption, และ Bypass Gmail ช่วยให้มั่นใจในความถูกต้อง และความน่าเชื่อถือในสภาพแวดล้อมการทดสอบ”

เครื่องมือนี้มีระดับราคาที่หลากหลาย ตั้งแต่ 400 ดอลลาร์ต่อเดือน ไปจนถึง 1,500 ดอลลาร์สำหรับทั้งปี

ชุดเครื่องมือฟิชชิง MatrixPDF

รายงานฉบับใหม่จาก Varonis อธิบายว่า เครื่องมือสร้าง MatrixPDF ช่วยให้ผู้โจมตีสามารถอัปโหลดไฟล์ PDF ที่ถูกต้องตามปกติเพื่อใช้เป็นเหยื่อล่อ จากนั้นเพิ่มคุณสมบัติที่เป็นอันตราย เช่น การเบลอเนื้อหา, การแสดงข้อความปลอม "Secure Document" และ Overlays ที่สามารถคลิกได้ ซึ่งจะนำไปสู่ URL payload ภายนอก

MatrixPDF ยังสามารถ embed JavaScript ซึ่งจะ triggered เมื่อผู้ใช้เปิดเอกสาร หรือเมื่อเหยื่อคลิกปุ่ม JavaScript นี้จะพยายามเปิดเว็บไซต์ หรือดำเนินการที่เป็นอันตรายอื่น ๆ

คุณสมบัติการเบลอเนื้อหาช่วยให้ผู้โจมตีสามารถสร้างไฟล์ PDF ที่ดูเหมือนจะมีเนื้อหาที่ได้รับการป้องกัน และถูกเบลอไว้ และมีปุ่ม "Open Secure Document" การคลิกที่เอกสารจะเปิดเว็บไซต์ที่สามารถใช้เพื่อโฮสต์หน้าฟิชชิง หรือเผยแพร่มัลแวร์ได้

การทดสอบโดย Varonis แสดงให้เห็นว่าไฟล์ PDF ที่เป็นอันตรายสามารถถูกส่งไปยังบัญชี Gmail ได้โดย bypass phishing filters ทั้งนี้เป็นเพราะไฟล์ PDF ที่สร้างขึ้นไม่มีไฟล์ไบนารีที่เป็นอันตราย และมีเพียงลิงก์ภายนอกเท่านั้น

นักวิจัยจาก Varonis อธิบายว่า “โปรแกรมตรวจสอบ PDF ของ Gmail ไม่ได้รัน PDF JavaScript แต่จะอนุญาตให้ลิงก์ หรือคำอธิบายประกอบที่สามารถคลิกทำงานได้”

“ดังนั้น PDF ของผู้โจมตีจึงถูกสร้างขึ้นเพื่อให้การกดปุ่มเพียงแค่เปิดเว็บไซต์ภายนอกในเบราว์เซอร์ของผู้ใช้ การออกแบบที่ค่อนข้างฉลาดนี้ สามารถหลีกเลี่ยงระบบความปลอดภัยของ Gmail ได้ การสแกนมัลแวร์ในไฟล์ PDF จะไม่พบสิ่งผิดปกติ และเนื้อหาที่เป็นอันตรายจะถูกดึงมาต่อเมื่อผู้ใช้คลิกเท่านั้น ซึ่งจะทำให้ Gmail เห็นเป็น web request ที่เริ่มต้นโดยผู้ใช้”

การสาธิตอีกอย่างแสดงให้เห็นว่าเพียงแค่เปิด PDF มันก็จะพยายามที่จะเปิดเว็บไซต์ภายนอกแล้ว คุณสมบัตินี้ค่อนข้างจำกัด เนื่องจากโปรแกรม PDF viewers สมัยใหม่จะแจ้งเตือนผู้ใช้ว่า PDF พยายามที่จะเชื่อมต่อกับเว็บไซต์ภายนอก

Varonis เตือนว่า PDF เป็นช่องทางยอดนิยมสำหรับการโจมตีแบบฟิชชิง เพราะเป็นไฟล์ที่ใช้กันทั่วไป และแพลตฟอร์มอีเมลสามารถแสดงผลได้โดยไม่มีการแจ้งเตือน

บริษัทระบุว่า ระบบรักษาความปลอดภัยอีเมลที่ใช้งาน AI ซึ่งสามารถวิเคราะห์โครงสร้าง PDF, ตรวจจับ Overlays ที่เบลอ และข้อความแจ้งเตือนปลอม และตรวจสอบ URL ที่ฝังไว้ใน sandbox สามารถช่วยป้องกันไม่ให้ไฟล์เหล่านี้ไปถึงกล่องจดหมายของเป้าหมายได้

ที่มา : bleepingcomputer

การโจมตีแบบ supply chain attack ครั้งนี้ เกิดขึ้นจากการที่แฮ็กเกอร์ใช้วิธีการฟิชชิ่งเพื่อเข้าถึงบัญชีของผู้ดูแลแพ็กเกจ ก่อนจะฝังมัลแวร์ลงในแพ็กเกจ NPM ซึ่งมียอดดาวน์โหลดรวมสูงถึง 2.6 พันล้านครั้งต่อสัปดาห์

Josh Junon (qix) ผู้ดูแลแพ็กเกจที่ตกเป็นเป้าหมายในการโจมตีแบบ supply chain attack ครั้งนี้ ได้ออกมายืนยันเมื่อวันที่ 8 กันยายน 2025 ว่า บัญชีของเขาถูกเข้าถึง โดยเปิดเผยว่า แฮ็กเกอร์ส่งอีเมลฟิชชิงมาจากที่อยู่อีเมล support [at] npmjs [dot] help ซึ่งเป็นโดเมนของเว็บไซต์ที่ปลอมเป็น npmjs.

VirusTotal พบแคมเปญฟิชชิ่งที่ซ่อนอยู่ใน SVG files ซึ่งสร้างหน้าเว็บพอร์ทัลที่ปลอมเป็นระบบตุลาการของรัฐบาลโคลอมเบียเพื่อส่งมัลแวร์ไปยังเป้าหมาย

VirusTotal ได้ตรวจพบแคมเปญนี้หลังจากที่เพิ่มการรองรับไฟล์ SVG ลงในแพลตฟอร์ม AI Code Insight

AI Code Insight เป็นฟีเจอร์ของ VirusTotal ในการวิเคราะห์ตัวอย่างไฟล์ที่ถูกอัปโหลด โดยใช้ Machine Learning/AI เพื่อสร้างสรุปพฤติกรรมที่น่าสงสัย หรือเป็นอันตรายที่พบในไฟล์

หลังจากได้เพิ่มการรองรับไฟล์ SVG จึงทำให้ VirusTotal ค้นพบไฟล์ SVG ที่ไม่ถูกตรวจจับจากการสแกนมัลแวร์ แต่ฟีเจอร์ Code Insight ได้ตรวจพบการใช้ JavaScript เพื่อแสดง HTML ซึ่งปลอมเป็นระบบตุลาการของรัฐบาลโคลอมเบีย

SVG file หรือ Scalable Vector Graphics ใช้ในการสร้างภาพเส้น รูปทรง และข้อความผ่านสูตรทางคณิตศาสตร์ในไฟล์ ต่อมาเริ่มพบเหล่า Hacker เริ่มใช้ไฟล์ SVG ในการโจมตีมากขึ้น เนื่องจากไฟล์เหล่านี้สามารถใช้แสดง HTML โดยใช้องค์ประกอบ <foreignObject> และเรียกใช้งาน JavaScript เมื่อโหลดกราฟิก

ในแคมเปญที่ Virustotal ค้นพบ ไฟล์ภาพ SVG ถูกใช้เพื่อแสดงผลหน้าเว็บพอร์ทัลปลอมที่แสดงแถบความคืบหน้าการดาวน์โหลด ซึ่งท้ายที่สุดจะแจ้งให้ผู้ใช้ดาวน์โหลดไฟล์ zip ที่มีการใส่รหัสผ่าน ซึ่งรหัสผ่านสำหรับเปิดไฟล์นี้จะแสดงในหน้าพอร์ทัลปลอม

Phishing Campaign จะจำลองกระบวนการดาวน์โหลดเอกสารราชการอย่างเป็นทางการ ประกอบด้วยหมายเลขคดี, security token และสัญลักษณ์ภาพเพื่อสร้างความน่าเชื่อถือ ซึ่งทั้งหมดนี้สร้างขึ้นภายในไฟล์ SVG

BleepingComputer พบว่า ไฟล์ที่ extracted ออกมาจะมีไฟล์อยู่ 4 ไฟล์ ได้แก่ ไฟล์ executable ที่ถูกต้องของเว็บเบราว์เซอร์ Comodo Dragon ซึ่งเปลี่ยนชื่อเป็นเอกสารทางศาลอย่างเป็นทางการ, ไฟล์ DLL ที่เป็นอันตราย และไฟล์ที่ดูเหมือนจะเข้ารหัสไว้ 2 ไฟล์

โดยหากผู้ใช้เปิดไฟล์ executable ไฟล์ DLL ที่เป็นอันตรายจะถูกโหลดเพื่อติดตั้งมัลแวร์เพิ่มเติมในระบบของเป้าหมาย

หลังจากตรวจพบ SVG file ที่เป็นอันตรายนี้ ทาง VirusTotal ก็สามารถระบุไฟล์ SVG ที่อัปโหลดไว้ก่อนหน้านี้ จำนวนกว่า 523 ไฟล์ ซึ่งเป็นส่วนหนึ่งของแคมเปญเดียวกัน ที่สามารถหลบเลี่ยงการตรวจจับของซอฟต์แวร์รักษาความปลอดภัย

การเพิ่มการรองรับ SVG file ให้กับ AI Code Insights มีความสำคัญอย่างยิ่งในการเปิดเผยแคมเปญนี้ เนื่องจาก VirusTotal ระบุว่า การใช้ AI ช่วยให้ระบุแคมเปญที่เป็นอันตรายใหม่ ๆ ได้ง่ายขึ้น

VirusTotal ระบุว่า จุดที่ Code Insight เข้ามาช่วยได้มากที่สุดนั่นคือ การทำให้เห็นบริบทโดยรวม, ประหยัดเวลา และช่วยให้มุ่งเน้นไปที่สิ่งที่สำคัญจริง ๆ ทั้งนี้ Code Insight ไม่สามารถแทนที่การวิเคราะห์ของผู้เชี่ยวชาญได้ แต่เป็นอีกหนึ่งเครื่องมือที่จะช่วยคัดกรองข้อมูลที่ไม่จำเป็น และเข้าถึงสิ่งที่สำคัญได้รวดเร็วยิ่งขึ้น

 

ที่มา : bleepingcomputer.