นักวิจัยพบกลุ่ม phishing-as-a-service (PhaaS) ชื่อว่า Morphing Meerkat ได้ใช้ protocol DNS over HTTPS (DoH) เพื่อหลีกเลี่ยงการตรวจจับ
รวมถึงยังพบการใช้ประโยชน์จาก DNS email exchange (MX) records เพื่อระบุผู้ให้บริการอีเมลของเหยื่อ และเพื่อให้บริการหน้าเข้าสู่ระบบปลอมแบบไดนามิกสำหรับแบรนด์ต่าง ๆ มากกว่า 114 แบรนด์
Morphing Meerkat ได้เริ่มทำการโจมตีมาตั้งแต่ปี 2020 เป็นอย่างน้อย ซึ่งนักวิจัยด้านความปลอดภัยจาก Infoblox เป็นผู้ค้นพบกลุ่มดังกล่าว แม้ว่าจะมีการบันทึกการดำเนินการของกลุ่มนี้ไว้บางส่วนแล้ว แต่ส่วนใหญ่ก็ไม่ค่อยมีการตรวจพบมานานหลายปี
แคมเปญ Phishing ขนาดใหญ่
Morphing Meerkat คือ PhaaS platform ที่มีชุดเครื่องมือสำหรับการโจมตี phishing ที่มีประสิทธิภาพ ปรับรูปแบบได้ และหลบเลี่ยงการตรวจจับได้ โดยไม่จำเป็นต้องมีความรู้ทางเทคนิคในการโจมตีขั้นสูงก็สามารถใช้งานได้
ตัวระบบมี SMTP infrastructure แบบรวมศูนย์เพื่อแพร่กระจาย spam อีเมล โดยอีเมลที่ติดตามได้ 50% มีต้นทางมาจากบริการอินเทอร์เน็ตที่ให้บริการโดย iomart (สหราชอาณาจักร) และ HostPapa (สหรัฐอเมริกา)
แคมเปญ Phishing นี้สามารถปลอมแปลงเป็นผู้ให้บริการอีเมล และบริการอื่น ๆ มากกว่า 114 ราย รวมถึง Gmail, Outlook, Yahoo, DHL, Maersk และ RakBank โดยส่งข้อความที่มี subject ที่ได้รับการออกแบบมาเพื่อกระตุ้นให้ผู้รับดำเนินการอย่างเร่งด่วน เช่น “ต้องดำเนินการ: ปิดใช้งานบัญชี” โดยอีเมลจะถูกส่งในหลายภาษา รวมถึงภาษาอังกฤษ สเปน รัสเซีย และแม้แต่จีน และสามารถปลอมแปลงชื่อและที่อยู่ของผู้ส่งได้
หากเหยื่อคลิกลิงก์ที่เป็นอันตรายในข้อความ ก็จะเข้าสู่กระบวนการโจมตีแบบ open redirect exploits บนแพลตฟอร์มเทคโนโลยีโฆษณา เช่น Google DoubleClick ซึ่งหลายครั้งจะมาจาก WordPress sites ที่ถูกโจมตี โดเมนปลอม และบริการโฮสติ้งฟรี
เมื่อเหยื่อไปถึงเว็บไซต์ปลายทางแล้ว เครื่องมือ phishing จะโหลด และตรวจสอบ MX record ของโดเมนอีเมลของเหยื่อโดยใช้ DoH ผ่านทาง Google หรือ Cloudflare และต่อมาก็จะโหลดหน้าล็อกอินปลอมโดยกรอกอีเมลของเหยื่อโดยอัตโนมัติ
เมื่อเหยื่อกรอกข้อมูล credentials แล้ว ข้อมูลดังกล่าวจะถูกส่งต่อไปยัง Hacker ผ่าน AJAX requests ไปยังเซิร์ฟเวอร์ภายนอก และ PHP scripts ที่โฮสต์บนหน้าฟิชชิ่ง นอกจากนี้ยังสามารถส่งต่อแบบ Real-time โดยใช้ Telegram bot webhooks ได้อีกด้วย
เมื่อทำการกรอกข้อมูลเป็นครั้งแรก จะมีข้อความแจ้งข้อผิดพลาดว่า “รหัสผ่านไม่ถูกต้อง กรุณากรอกอีเมล รหัสผ่านที่ถูกต้อง” เพื่อให้เหยื่อกรอกรหัสผ่านใหม่อีกครั้ง เพื่อให้แน่ใจว่าข้อมูลถูกต้อง เมื่อเหยื่อทำเช่นนั้นแล้ว จะถูกส่งต่อไปยังหน้าการยืนยันตัวตนที่ถูกต้องเพื่อลดความน่าสงสัย
DoH และ DNS MX
การใช้ DoH และ DNS MX ทำให้ Morphing Meerkat โดดเด่นจากเครื่องมืออื่น ๆ ที่คล้ายกัน เนื่องจากเป็นเทคนิคขั้นสูงที่ช่วยในด้านการโจมตีได้เป็นอย่างดี
DNS over HTTPS (DoH) เป็นโปรโตคอลที่ดำเนินการ DNS resolution โดยใช้ HTTPS requests ที่เข้ารหัส แทน DNS queries ที่ใช้ UDP แบบ plaintext ดั้งเดิม
MX (Mail Exchange) record เป็น type หนึ่งของ DNS record ที่แจ้งให้อินเทอร์เน็ตทราบว่าเซิร์ฟเวอร์ใดจัดการอีเมลสำหรับโดเมนที่กำหนด
เมื่อเหยื่อคลิกลิงก์ใน phishing เครื่องมือ phishing kit จะถูกโหลดลงในเบราว์เซอร์ และส่ง DNS request ไปยัง Google หรือ Cloudflare เพื่อค้นหา MX records ของ domain อีเมลของพวกเขา วิธีการดังกล่าวช่วยหลีกเลี่ยงการตรวจจับได้ เนื่องจาก query เกิดขึ้นในฝั่งไคลเอนต์ และการใช้ DoH จะช่วยหลีกเลี่ยงจากการตรวจสอบ DNS
เมื่อระบุผู้ให้บริการอีเมลจาก MX record แล้ว phishing kit จะสามารถส่งแคมเปญ Phishing ที่ตรงกันให้กับเหยื่อได้
Infoblox เสริมว่า แนวทางป้องกันที่แนะนำในการรับมือกับ Phishing ประเภทนี้ก็คือ "การใช้ DNS control ที่เข้มงวดยิ่งขึ้น เพื่อไม่ให้ผู้ใช้สามารถเชื่อมต่อกับ DoH servers หรือการบล็อกการเข้าถึงของผู้ใช้ใน adtech หรือ file sharing infrastructure ที่ไม่สำคัญต่อธุรกิจ"
ที่มา : bleepingcomputer.