LastPass กำลังแจ้งเตือนลูกค้าว่าขณะนี้มีแคมเปญฟิชชิงที่ส่งอีเมลหลอกลวง โดยภายในอีเมลมีคำขอเข้าถึง password vaults ภายใต้ข้ออ้างว่าเป็นขั้นตอนในกระบวนการสืบทอดบัญชี

กิจกรรมดังกล่าวเริ่มต้นขึ้นราวกลางเดือนตุลาคม โดยพบว่าโดเมน และโครงสร้างพื้นฐานที่ใช้มีความเชื่อมโยงกับกลุ่มผู้โจมตีซึ่งมีแรงจูงใจทางด้านการเงินที่รู้จักกันในชื่อ CryptoChameleon (UNC5356)

กลุ่ม CryptoChameleon ใช้ชุดเครื่องมือฟิชชิงที่พัฒนาเฉพาะเพื่อขโมยสินทรัพย์ดิจิทัล โดยมุ่งเป้าไปที่กระเป๋าเงินคริปโตหลายแพลตฟอร์ม เช่น Binance, Coinbase, Kraken และ Gemini ผ่านหน้าเข้าสู่ระบบปลอมของบริการชื่อดังอย่าง Okta, Gmail, iCloud และ Outlook

ผู้ใช้ LastPass เคยถูกกลุ่มเดียวกันนี้โจมตีมาแล้วในเดือนเมษายน ปี 2024 แต่ดูเหมือนว่าแคมเปญล่าสุดจะมีความซับซ้อน และครอบคลุมมากกว่าเดิม โดยคราวนี้ยังขยายเป้าหมายไปถึง passkey อีกด้วย

อีเมลฟิชชิงที่ส่งถึงผู้ใช้ LastPass แอบอ้างว่ามีสมาชิกในครอบครัวร้องขอการเข้าถึง LastPass vault ของผู้ใช้ โดยอัปโหลด “ใบมรณบัตร” เพื่อใช้เป็นเอกสารประกอบคำขอ

กระบวนการสืบทอดสิทธิ์ของ LastPass เป็นฟีเจอร์การเข้าถึงฉุกเฉินที่อนุญาตให้บุคคลที่เจ้าของบัญชีกำหนดสามารถขอเข้าถึง password vault ของตนได้ในกรณีที่เสียชีวิต หรือทุพพลภาพ

ปกติแล้วเมื่อมีการเปิดคำขอดังกล่าว เจ้าของบัญชีจะได้รับอีเมล และหลังจากระยะเวลารอสิ้นสุดลง ผู้ติดต่อจะได้รับสิทธิ์เข้าถึงโดยอัตโนมัติ

คำขอสืบทอดปลอมดังกล่าวถูกออกแบบให้ดูน่าเชื่อถือยิ่งขึ้นด้วยการใส่ หมายเลข Agent ID เพื่อสร้างความสมจริง เพื่อให้ผู้รับรีบดำเนินการยกเลิกคำขอนั้น หากตนเอง “ยังไม่เสียชีวิต” โดยคลิกที่ลิงก์ในอีเมล

อย่างไรก็ตาม ลิงก์นั้นจะนำเหยื่อไปยังเว็บไซต์ปลอม lastpassrecovery[.]com ซึ่งมีแบบฟอร์มเข้าสู่ระบบปลอม ซึ่งหลอกให้ผู้ใช้กรอกรหัสผ่าน master password ของตนลงไป

LastPass เปิดเผยว่า ในบางกรณี ผู้โจมตีได้โทรศัพท์หาผู้เสียหายโดยแอบอ้างเป็นเจ้าหน้าที่ของบริษัท และหลอกให้เหยื่อกรอกข้อมูลเข้าสู่ระบบบนเว็บไซต์ฟิชชิงที่จัดเตรียมไว้ล่วงหน้า

บริษัทระบุเพิ่มเติมว่า หนึ่งในองค์ประกอบสำคัญของการโจมตีโดยกลุ่ม CryptoChameleon ที่มุ่งเป้าไปยังผู้ใช้ LastPass คือการใช้โดเมนฟิชชิงที่เน้นการขโมย passkey โดยเฉพาะ เช่น mypasskey[.]info และ passkeysetup[.]com ซึ่งแสดงให้เห็นถึงความพยายามในการขโมยข้อมูล passkey ของเหยื่อ

ทั้งนี้ passkey เป็นมาตรฐานการยืนยันตัวตนแบบไม่ใช้รหัสผ่าน (passwordless authentication) ที่พัฒนาบนโปรโตคอล FIDO2 / WebAuthn โดยอาศัยระบบเข้ารหัสแบบ assymmetric แทนการใช้รหัสผ่านที่ต้องจดจำ

Password managers ยุคใหม่อย่าง LastPass, 1Password, Dashlane และ Bitwarden สามารถจัดเก็บ และซิงก์ passkey ข้ามอุปกรณ์ได้แล้ว ซึ่งทำให้กลุ่มผู้ไม่หวังดีเริ่มหันมาโจมตีพวกเขาโดยตรง

ในปี 2022 LastPass ประสบเหตุข้อมูลรั่วไหลครั้งใหญ่ เมื่อผู้โจมตีขโมยข้อมูลสำรองของ password vaults ที่เข้ารหัสไว้ เหตุการณ์นี้เชื่อมโยงกับการโจมตีแบบเจาะจงเป้าหมายในภายหลัง ส่งผลให้เกิดความสูญเสียสกุลเงินดิจิทัลราว 4.4 ล้านดอลลาร์สหรัฐ

 

ที่มา : bleepingcomputer.

 

พบแคมเปญฟิชชิ่งที่มีความซับซ้อน ซึ่งใช้ประโยชน์จาก Universal Unique Identifiers (UUIDs) ที่สร้างขึ้นแบบสุ่ม โดยสามารถ Bypass Secure Email Gateways (SEGs) และหลบเลี่ยงการป้องกันในระดับ perimeter ได้สำเร็จ (more…)

ชุดเครื่องมือสำหรับการโจมตีแบบฟิชชิง และมัลแวร์ตัวใหม่ที่ชื่อว่า MatrixPDF ช่วยให้ผู้โจมตีสามารถแปลงไฟล์ PDF ทั่วไปให้เป็นเหยื่อล่อแบบ interactive ได้ ซึ่งจะ bypass การรักษาความปลอดภัยของอีเมล และเปลี่ยนเส้นทางของเหยื่อเพื่อขโมยข้อมูล credential หรือการดาวน์โหลดมัลแวร์

เครื่องมือใหม่นี้ถูกพบโดย Daniel Kelley นักวิจัยของ Varonis ซึ่งให้ข้อมูลกับ BleepingComputer ว่า MatrixPDF โดยถูกพบครั้งแรกในฟอรัมของกลุ่มแฮ็กเกอร์ โดยผู้ขายใช้ Telegram เป็นช่องทางเพิ่มเติมในการติดต่อกับผู้ซื้อ โดยโฆษณาเครื่องมือนี้ว่าเป็นเครื่องมือจำลองการโจมตีแบบฟิชชิง และเครื่องมือสำหรับ blackteaming

ข้อความโฆษณาที่แชร์กับ BleepingComputer ระบุว่า MatrixPDF: Document Builder - Advanced PDF Phishing with JavaScript Actions เป็นเครื่องมือสำหรับการสร้างไฟล์ PDF สำหรับจำลองการโจมตีแบบฟิชชิงที่เสมือนจริง ซึ่งถูกปรับแต่งมาสำหรับ black team และการฝึกอบรมสร้างความตระหนักด้านความปลอดภัยไซเบอร์”

“ด้วยการนำเข้าไฟล์ PDF แบบ drag-and-drop การแสดงตัวอย่างแบบเรียลไทม์ และ Security overlays ที่ปรับแต่งได้ MatrixPDF จึงสามารถจำลองสถานการณ์การโจมตีแบบฟิชชิงได้อย่างมืออาชีพ”

“ระบบป้องกันในตัว เช่น การเบลอเนื้อหา, กลไกการเปลี่ยนเส้นทางที่ปลอดภัย, Metadata Encryption, และ Bypass Gmail ช่วยให้มั่นใจในความถูกต้อง และความน่าเชื่อถือในสภาพแวดล้อมการทดสอบ”

เครื่องมือนี้มีระดับราคาที่หลากหลาย ตั้งแต่ 400 ดอลลาร์ต่อเดือน ไปจนถึง 1,500 ดอลลาร์สำหรับทั้งปี

ชุดเครื่องมือฟิชชิง MatrixPDF

รายงานฉบับใหม่จาก Varonis อธิบายว่า เครื่องมือสร้าง MatrixPDF ช่วยให้ผู้โจมตีสามารถอัปโหลดไฟล์ PDF ที่ถูกต้องตามปกติเพื่อใช้เป็นเหยื่อล่อ จากนั้นเพิ่มคุณสมบัติที่เป็นอันตราย เช่น การเบลอเนื้อหา, การแสดงข้อความปลอม "Secure Document" และ Overlays ที่สามารถคลิกได้ ซึ่งจะนำไปสู่ URL payload ภายนอก

MatrixPDF ยังสามารถ embed JavaScript ซึ่งจะ triggered เมื่อผู้ใช้เปิดเอกสาร หรือเมื่อเหยื่อคลิกปุ่ม JavaScript นี้จะพยายามเปิดเว็บไซต์ หรือดำเนินการที่เป็นอันตรายอื่น ๆ

คุณสมบัติการเบลอเนื้อหาช่วยให้ผู้โจมตีสามารถสร้างไฟล์ PDF ที่ดูเหมือนจะมีเนื้อหาที่ได้รับการป้องกัน และถูกเบลอไว้ และมีปุ่ม "Open Secure Document" การคลิกที่เอกสารจะเปิดเว็บไซต์ที่สามารถใช้เพื่อโฮสต์หน้าฟิชชิง หรือเผยแพร่มัลแวร์ได้

การทดสอบโดย Varonis แสดงให้เห็นว่าไฟล์ PDF ที่เป็นอันตรายสามารถถูกส่งไปยังบัญชี Gmail ได้โดย bypass phishing filters ทั้งนี้เป็นเพราะไฟล์ PDF ที่สร้างขึ้นไม่มีไฟล์ไบนารีที่เป็นอันตราย และมีเพียงลิงก์ภายนอกเท่านั้น

นักวิจัยจาก Varonis อธิบายว่า “โปรแกรมตรวจสอบ PDF ของ Gmail ไม่ได้รัน PDF JavaScript แต่จะอนุญาตให้ลิงก์ หรือคำอธิบายประกอบที่สามารถคลิกทำงานได้”

“ดังนั้น PDF ของผู้โจมตีจึงถูกสร้างขึ้นเพื่อให้การกดปุ่มเพียงแค่เปิดเว็บไซต์ภายนอกในเบราว์เซอร์ของผู้ใช้ การออกแบบที่ค่อนข้างฉลาดนี้ สามารถหลีกเลี่ยงระบบความปลอดภัยของ Gmail ได้ การสแกนมัลแวร์ในไฟล์ PDF จะไม่พบสิ่งผิดปกติ และเนื้อหาที่เป็นอันตรายจะถูกดึงมาต่อเมื่อผู้ใช้คลิกเท่านั้น ซึ่งจะทำให้ Gmail เห็นเป็น web request ที่เริ่มต้นโดยผู้ใช้”

การสาธิตอีกอย่างแสดงให้เห็นว่าเพียงแค่เปิด PDF มันก็จะพยายามที่จะเปิดเว็บไซต์ภายนอกแล้ว คุณสมบัตินี้ค่อนข้างจำกัด เนื่องจากโปรแกรม PDF viewers สมัยใหม่จะแจ้งเตือนผู้ใช้ว่า PDF พยายามที่จะเชื่อมต่อกับเว็บไซต์ภายนอก

Varonis เตือนว่า PDF เป็นช่องทางยอดนิยมสำหรับการโจมตีแบบฟิชชิง เพราะเป็นไฟล์ที่ใช้กันทั่วไป และแพลตฟอร์มอีเมลสามารถแสดงผลได้โดยไม่มีการแจ้งเตือน

บริษัทระบุว่า ระบบรักษาความปลอดภัยอีเมลที่ใช้งาน AI ซึ่งสามารถวิเคราะห์โครงสร้าง PDF, ตรวจจับ Overlays ที่เบลอ และข้อความแจ้งเตือนปลอม และตรวจสอบ URL ที่ฝังไว้ใน sandbox สามารถช่วยป้องกันไม่ให้ไฟล์เหล่านี้ไปถึงกล่องจดหมายของเป้าหมายได้

ที่มา : bleepingcomputer

การโจมตีแบบ supply chain attack ครั้งนี้ เกิดขึ้นจากการที่แฮ็กเกอร์ใช้วิธีการฟิชชิ่งเพื่อเข้าถึงบัญชีของผู้ดูแลแพ็กเกจ ก่อนจะฝังมัลแวร์ลงในแพ็กเกจ NPM ซึ่งมียอดดาวน์โหลดรวมสูงถึง 2.6 พันล้านครั้งต่อสัปดาห์

Josh Junon (qix) ผู้ดูแลแพ็กเกจที่ตกเป็นเป้าหมายในการโจมตีแบบ supply chain attack ครั้งนี้ ได้ออกมายืนยันเมื่อวันที่ 8 กันยายน 2025 ว่า บัญชีของเขาถูกเข้าถึง โดยเปิดเผยว่า แฮ็กเกอร์ส่งอีเมลฟิชชิงมาจากที่อยู่อีเมล support [at] npmjs [dot] help ซึ่งเป็นโดเมนของเว็บไซต์ที่ปลอมเป็น npmjs.

VirusTotal พบแคมเปญฟิชชิ่งที่ซ่อนอยู่ใน SVG files ซึ่งสร้างหน้าเว็บพอร์ทัลที่ปลอมเป็นระบบตุลาการของรัฐบาลโคลอมเบียเพื่อส่งมัลแวร์ไปยังเป้าหมาย

VirusTotal ได้ตรวจพบแคมเปญนี้หลังจากที่เพิ่มการรองรับไฟล์ SVG ลงในแพลตฟอร์ม AI Code Insight

AI Code Insight เป็นฟีเจอร์ของ VirusTotal ในการวิเคราะห์ตัวอย่างไฟล์ที่ถูกอัปโหลด โดยใช้ Machine Learning/AI เพื่อสร้างสรุปพฤติกรรมที่น่าสงสัย หรือเป็นอันตรายที่พบในไฟล์

หลังจากได้เพิ่มการรองรับไฟล์ SVG จึงทำให้ VirusTotal ค้นพบไฟล์ SVG ที่ไม่ถูกตรวจจับจากการสแกนมัลแวร์ แต่ฟีเจอร์ Code Insight ได้ตรวจพบการใช้ JavaScript เพื่อแสดง HTML ซึ่งปลอมเป็นระบบตุลาการของรัฐบาลโคลอมเบีย

SVG file หรือ Scalable Vector Graphics ใช้ในการสร้างภาพเส้น รูปทรง และข้อความผ่านสูตรทางคณิตศาสตร์ในไฟล์ ต่อมาเริ่มพบเหล่า Hacker เริ่มใช้ไฟล์ SVG ในการโจมตีมากขึ้น เนื่องจากไฟล์เหล่านี้สามารถใช้แสดง HTML โดยใช้องค์ประกอบ <foreignObject> และเรียกใช้งาน JavaScript เมื่อโหลดกราฟิก

ในแคมเปญที่ Virustotal ค้นพบ ไฟล์ภาพ SVG ถูกใช้เพื่อแสดงผลหน้าเว็บพอร์ทัลปลอมที่แสดงแถบความคืบหน้าการดาวน์โหลด ซึ่งท้ายที่สุดจะแจ้งให้ผู้ใช้ดาวน์โหลดไฟล์ zip ที่มีการใส่รหัสผ่าน ซึ่งรหัสผ่านสำหรับเปิดไฟล์นี้จะแสดงในหน้าพอร์ทัลปลอม

Phishing Campaign จะจำลองกระบวนการดาวน์โหลดเอกสารราชการอย่างเป็นทางการ ประกอบด้วยหมายเลขคดี, security token และสัญลักษณ์ภาพเพื่อสร้างความน่าเชื่อถือ ซึ่งทั้งหมดนี้สร้างขึ้นภายในไฟล์ SVG

BleepingComputer พบว่า ไฟล์ที่ extracted ออกมาจะมีไฟล์อยู่ 4 ไฟล์ ได้แก่ ไฟล์ executable ที่ถูกต้องของเว็บเบราว์เซอร์ Comodo Dragon ซึ่งเปลี่ยนชื่อเป็นเอกสารทางศาลอย่างเป็นทางการ, ไฟล์ DLL ที่เป็นอันตราย และไฟล์ที่ดูเหมือนจะเข้ารหัสไว้ 2 ไฟล์

โดยหากผู้ใช้เปิดไฟล์ executable ไฟล์ DLL ที่เป็นอันตรายจะถูกโหลดเพื่อติดตั้งมัลแวร์เพิ่มเติมในระบบของเป้าหมาย

หลังจากตรวจพบ SVG file ที่เป็นอันตรายนี้ ทาง VirusTotal ก็สามารถระบุไฟล์ SVG ที่อัปโหลดไว้ก่อนหน้านี้ จำนวนกว่า 523 ไฟล์ ซึ่งเป็นส่วนหนึ่งของแคมเปญเดียวกัน ที่สามารถหลบเลี่ยงการตรวจจับของซอฟต์แวร์รักษาความปลอดภัย

การเพิ่มการรองรับ SVG file ให้กับ AI Code Insights มีความสำคัญอย่างยิ่งในการเปิดเผยแคมเปญนี้ เนื่องจาก VirusTotal ระบุว่า การใช้ AI ช่วยให้ระบุแคมเปญที่เป็นอันตรายใหม่ ๆ ได้ง่ายขึ้น

VirusTotal ระบุว่า จุดที่ Code Insight เข้ามาช่วยได้มากที่สุดนั่นคือ การทำให้เห็นบริบทโดยรวม, ประหยัดเวลา และช่วยให้มุ่งเน้นไปที่สิ่งที่สำคัญจริง ๆ ทั้งนี้ Code Insight ไม่สามารถแทนที่การวิเคราะห์ของผู้เชี่ยวชาญได้ แต่เป็นอีกหนึ่งเครื่องมือที่จะช่วยคัดกรองข้อมูลที่ไม่จำเป็น และเข้าถึงสิ่งที่สำคัญได้รวดเร็วยิ่งขึ้น

 

ที่มา : bleepingcomputer.

นักวิจัยด้านความมั่นคงปลอดภัยไซเบอร์ได้เปิดเผยถึงแคมเปญอันตรายครั้งใหญ่ที่มุ่งเป้าไปที่ผู้ใช้งาน TikTok Shop ทั่วโลก โดยมีวัตถุประสงค์เพื่อขโมยข้อมูลบัญชี และแพร่กระจายแอปพลิเคชันที่มีมัลแวร์ประเภทโทรจันฝังอยู่

CTM360 เปิดเผยว่า กลุ่มผู้ไม่หวังดีได้ใช้แพลตฟอร์มอีคอมเมิร์ซภายในแอป TikTok เป็นช่องทางโจมตี โดยผสมผสานเทคนิคฟิชชิ่ง และการแพร่กระจายมัลแวร์ผ่านเว็บไซต์ปลอมที่ออกแบบให้ดูเหมือน TikTok Shop อย่างแนบเนียน เพื่อหลอกให้เหยื่อเข้าใจว่ากำลังติดต่อกับแพลตฟอร์มจริงหรือ Affiliate ที่เชื่อถือได้ (more…)

Google Gemini สำหรับ Workspace สามารถถูกนำไปใช้ในการสร้างสรุปอีเมลที่ดูเหมือนปกติทุกอย่างแต่แท้จริงแล้วถูกสอดแทรกไปด้วยคำสั่งที่เป็นอันตราย หรือคำเตือนปลอมเพื่อหลอกให้เหยื่อเข้าถึงเว็บไซต์สำหรับฟิชชิ่งได้โดยไม่ต้องมีการแนบไฟล์ หรือแนบลิงก์โดยตรง

การโจมตีในลักษณะนี้อาศัยเทคนิคการสอดแทรกคำสั่งทางอ้อม (Indirect Prompt Injection) ซึ่งจะถูกซ่อนไว้ในอีเมลโดยที่ Gemini จะดำเนินการทำตามคำสั่งนั้นโดยอัตโนมัติเมื่อมีการสรุปข้อความในอีเมล

วิธีการข้างต้นยังคงสามารถใช้ได้จนถึงปัจจุบัน ถึงแม้ว่าจะมีการรายงานถึงการโจมตีด้วยวิธีการดังกล่าวตั้งแต่ปี 2024 และมีการใช้งานมาตรการเพื่อป้องกันผลลัพธ์ที่ถูกบิดเบือดจนทำให้เข้าใจผิดนี้แล้วก็ตาม

การโจมตีผ่าน Gemini

การโจมตีแบบ Prompt-Injection บนโมเดล Gemini ของ Google ถูกเปิดเผยผ่านโครงการ 0din ซึ่งเป็นโครงการ Bug bounty ของ Mozilla สำหรับเครื่องมือ AI ที่ใช้สร้างเนื้อหา (Generative AI) โดยนักวิจัย Marco Figueroa เป็นผู้จัดการโครงการ Bug bounty ของ Mozilla ดังกล่าว

ขั้นตอนที่เกี่ยวข้องเริ่มตั้งแต่การสร้างอีเมลที่มีคำสั่งลับที่ถูกซ่อนไว้เพื่อป้อนคำสั่งให้กับ Gemini โดยผู้โจมตีสามารถสอดแทรกคำสั่งที่เป็นอันตรายผ่านเนื้อหาในอีเมล ในตอนท้ายของข้อความ ด้วยการปรับแต่งแก้ไขผ่าน HTML และ CSS เพื่อกำหนดขนาดตัวอักษรให้เป็น 0 และเป็น สีขาว

คำสั่งที่เป็นอันตรายนี้จะไม่ถูกแสดงบน Gmail และ ยังมีโอกาสสูงที่จะถูกส่งเข้ากล่องข้อความของเป้าหมายได้สำเร็จ เนื่องจากไม่มีการแนบไฟล์ หรือลิงก์ที่เป็นอันตราย

ซึ่งหากผู้ที่ได้รับอีเมลเปิดอีเมล และใช้งาน Gemini ในการสรุปข้อความบนอีเมลแล้วนั้น เครื่องมือ AI ของ Google นี้จะประมวลผลคำสั่งที่ถูกซ่อนไว้ และดำเนินการตามคำสั่งโดยอัตโนมัติ

ตัวอย่างที่ Figueroa ได้นำเสนอนั้น แสดงให้เห็นว่า Gemini ดำเนินการตามคำสั่งที่ซ่อนอยู่ โดยสร้างข้อความแจ้งเตือนว่ามีการเข้าถึงรหัสผ่านอีเมลของผู้ใช้งานดังกล่าวโดยไม่ได้รับอนุญาตแล้ว ตามด้วยเบอร์ติดต่อเพื่อให้ขอความช่วยเหลือจากทีม support ปลอม

มีผู้ใช้งานจำนวนมากมีแนวโน้มที่จะเชื่อผลลัพธ์ที่ได้จาก Gemini เนื่องจากเป็นฟังก์ชันหนึ่งของ Google Workspace ดังนั้นจึงมีความเป็นไปได้สูงว่าข้อความแจ้งเตือนดังกล่าวจะถูกมองว่าเป็นคำเตือนที่ถูกต้องแทนที่จะมองว่าเป็นส่วนหนึ่งของการโจมตีแบบ Malicious Prompt Injection

Figueroa ได้แนะนำวิธีการตรวจสอบ และแนวทางในการลดความเสียหาย ซึ่งผู้ดูแลด้านความปลอดภัยทางไซเบอร์สามารถนำไปใช้งานเพื่อป้องกันการโจมตีได้ โดยหนึ่งในวิธีการคือการลบ หรือการ ignore ข้อความที่ถูกจัดรูปแบบให้สามารถซ่อนในเนื้อความของอีเมลได้

อีกวิธีการคือการใช้งาน Post-Processing Filter เพื่อตรวจสอบผลลัพธ์ที่เกิดจากการสรุปข้อความของ Gemini โดยแสกนหาข้อความ URLs หรือเบอร์โทรศัพท์ และแจ้งให้ผู้รับอีเมลตรวจสอบเพิ่มเติม

ผู้ใช้งานควรตระหนักด้วยว่าการใช้งานฟังก์ชันการสรุปข้อความของ Gemini ไม่ควรถูกมองว่าเป็นข้อมูลที่สามารถเชื่อถือได้อย่างสมบูรณ์ เมื่อมีความเกี่ยวข้องกับการแจ้งเตือนด้านความปลอดภัยทางไซเบอร์

BleepingComputer ได้ติดต่อไปทาง Google เพื่อสอบถามถึงมาตรการ และแนวทางในการป้องกัน หรือลดความเสี่ยงจากการโจมตีในลักษณะนี้ โดยทางโฆษกของ Google ได้ให้ทาง BleepingComputer ศึกษาข้อมูลเพิ่มเติมจาก Blog Post ด้านมาตรการความปลอดภัยเพื่อป้องกันการโจมตีด้วยวิธีการ Prompt Injection รูปแบบต่าง ๆ

และทางโฆษกยังระบุว่า "เรามีการดำเนินการเสริมความแข็งแรงในมาตรการการป้องกันอยู่แล้วอย่างต่อเนื่อง ผ่านการทดสอบจาก Red-teaming เพื่อฝึกให้โมเดลของเราสามารถป้องกันการโจมตีที่เป็นอันตรายเหล่านี้ได้ "

ตัวแทนของบริษัทได้อธิบายเพิ่มเติมกับทาง BleepingComputer ว่า มาตรการลดความเสี่ยง หรือความเสียหายบางส่วนอยู่ระหว่างดำเนินการติดตั้ง หรือใกล้จะเริ่มใช้งานแล้ว

โฆษกของ Google ได้ระบุเพิ่มเติมว่า ไม่พบหลักฐานที่บ่งชี้ว่ามีการใช้งาน Gemini จนเกิดความเสียหาย หรือส่งผลกระทบตามที่ได้มีการสาธิตบนรายงานของ Figueroa

 

ที่มา: bleepingcomputer.

House of Dior หรือที่รู้จักกันในชื่อ Dior ได้เปิดเผยว่าเกิดเหตุการณ์ด้านความปลอดภัยทางไซเบอร์ ที่อาจส่งผลให้ข้อมูลของลูกค้าถูกเปิดเผย

โฆษกของบริษัทให้ข้อมูลกับ BleepingComputer โดยระบุว่า เหตุการณ์นี้ส่งผลกระทบต่อลูกค้ากลุ่ม Dior Fashion และ Accessories ซึ่งในขณะนี้ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์กำลังสืบสวน และตรวจสอบเหตุการณ์ดังกล่าวเพื่อประเมินขอบเขตของผลกระทบ

โฆษกของ Dior ระบุว่า "เราเพิ่งตรวจพบเมื่อไม่นานมานี้ว่ามีบุคคลภายนอกที่ไม่ได้รับอนุญาตเข้าถึงข้อมูลบางส่วนที่เราเก็บรักษาไว้สำหรับกลุ่มลูกค้า Dior Fashion และ Accessories ของเรา"

“เราได้ดำเนินการตามมาตรการทันทีเพื่อจำกัดขอบเขตของเหตุการณ์นี้ ทีมงานของ Dior พร้อมด้วยผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์ชั้นนำ ยังคงดำเนินการตรวจสอบ และรับมือกับเหตุการณ์ดังกล่าวที่เกิดขึ้น”

Dior ได้ชี้แจงกับ BleepingComputer โดยระบุว่า เหตุการณ์ครั้งนี้ไม่ได้ทำให้รหัสผ่านบัญชี หรือข้อมูลบัตรเครดิตของผู้ใช้งานรั่วไหล เนื่องจากข้อมูลเหล่านี้ถูกเก็บไว้ในฐานข้อมูลอื่นที่ไม่ได้รับผลกระทบ

“ไม่มีรหัสผ่าน หรือข้อมูลการชำระเงินใด ๆ รวมถึงข้อมูลบัญชีธนาคาร หรือบัตรเครดิต อยู่ในฐานข้อมูลที่ได้รับผลกระทบจากเหตุการณ์นี้”

“เรากำลังดำเนินการแจ้งหน่วยงานกำกับดูแลที่เกี่ยวข้อง และลูกค้าตามที่กฎหมายกำหนด”

“การรักษาความลับ และความปลอดภัยข้อมูลของลูกค้าเป็นสิ่งสำคัญสูงสุดสำหรับ House of Dior เราขอแสดงความเสียใจอย่างจริงใจต่อความกังวล หรือความไม่สะดวกที่อาจเกิดขึ้นกับลูกค้าของเราจากเหตุการณ์นี้”

เกาหลี และจีน ยืนยันว่าได้รับผลกระทบดังกล่าว

แม้ว่า Dior จะไม่ได้ระบุจำนวนลูกค้า หรือภูมิภาคที่ได้รับผลกระทบอย่างชัดเจน แต่มีการแจ้งเตือนยืนยันว่าเว็บไซต์ของ Dior ในประเทศเกาหลีใต้ได้รับผลกระทบ และยังมีรายงานว่าลูกค้าชาวจีนบางรายได้รับการแจ้งเตือนเกี่ยวกับเหตุการณ์ข้อมูลรั่วไหลจากแบรนด์แฟชั่นดังกล่าว

จากภาพหน้าจอของการแจ้งเตือนที่ถูกเผยแพร่ทางออนไลน์ เหตุการณ์นี้ถูกตรวจพบเมื่อวันที่ 7 พฤษภาคม โดยมีการเข้าถึงข้อมูลจากบุคคลที่ไม่ได้รับอนุญาต และข้อมูลที่ถูกเปิดเผยมีรายละเอียดดังต่อไปนี้ :

ชื่อ-นามสกุล
เพศ
หมายเลขโทรศัพท์
ที่อยู่อีเมล
ที่อยู่ไปรษณีย์
ประวัติการสั่งซื้อ

ประกาศที่โพสต์บนเว็บไซต์ของร้าน Dior ในเกาหลีใต้ ได้ระบุวันที่เกิดเหตุการณ์ข้อมูลรั่วไหลว่าเป็นวันที่ 7 พฤษภาคม 2025 ซึ่งแสดงให้เห็นว่าเป็นเหตุการณ์ด้านความปลอดภัยทางไซเบอร์ที่อาจส่งผลกระทบในระดับนานาชาติ

อย่างไรก็ตาม ในกรณีดังกล่าว ข้อมูลที่ถูกเปิดเผยมีเฉพาะข้อมูลการติดต่อ, ข้อมูลการสั่งซื้อ และข้อมูลความชื่นชอบที่ลูกค้าเคยแจ้งไว้กับแบรนด์เท่านั้น

ขณะเดียวกัน สื่อเกาหลีใต้รายงานว่า Dior กำลังเผชิญกับการตรวจสอบทางกฎหมาย เนื่องจากไม่ได้แจ้งหน่วยงานที่เกี่ยวข้องทั้งหมดในประเทศเกี่ยวกับการรั่วไหลของข้อมูล

Dior แนะนำให้ลูกค้าเฝ้าระวังอีเมล หรือข้อความหลอกลวง (phishing) ที่พยายามขอข้อมูลส่วนตัว และขอให้ติดต่อบริษัททันทีหากพบว่ามีการแอบอ้างใช้ชื่อของแบรนด์ดังกล่าว

ในขณะนี้ รายละเอียดเกี่ยวกับจำนวนลูกค้า และประเทศที่ได้รับผลกระทบยังไม่ได้ถูกเปิดเผยต่อสาธารณะ

ที่มา : bleepingcomputer

ระหว่างเดือนมกราคมถึงเมษายน 2025 ชุดเครื่องมือฟิชชิ่งใหม่ 'CoGUI' ถูกใช้เพื่อส่งอีเมลฟิชชิ่งกว่า 580 ล้านฉบับ โดยแอบอ้างเป็นแบรนด์ดัง เช่น Amazon, Rakuten, PayPal, Apple, หน่วยงานจัดเก็บภาษี และธนาคาร เพื่อขโมยข้อมูลบัญชีผู้ใช้ และข้อมูลการชำระเงิน (more…)

นักวิจัยพบกลุ่ม phishing-as-a-service (PhaaS) ชื่อว่า Morphing Meerkat ได้ใช้ protocol DNS over HTTPS (DoH) เพื่อหลีกเลี่ยงการตรวจจับ

รวมถึงยังพบการใช้ประโยชน์จาก DNS email exchange (MX) records เพื่อระบุผู้ให้บริการอีเมลของเหยื่อ และเพื่อให้บริการหน้าเข้าสู่ระบบปลอมแบบไดนามิกสำหรับแบรนด์ต่าง ๆ มากกว่า 114 แบรนด์

Morphing Meerkat ได้เริ่มทำการโจมตีมาตั้งแต่ปี 2020 เป็นอย่างน้อย ซึ่งนักวิจัยด้านความปลอดภัยจาก Infoblox เป็นผู้ค้นพบกลุ่มดังกล่าว แม้ว่าจะมีการบันทึกการดำเนินการของกลุ่มนี้ไว้บางส่วนแล้ว แต่ส่วนใหญ่ก็ไม่ค่อยมีการตรวจพบมานานหลายปี

แคมเปญ Phishing ขนาดใหญ่

Morphing Meerkat คือ PhaaS platform ที่มีชุดเครื่องมือสำหรับการโจมตี phishing ที่มีประสิทธิภาพ ปรับรูปแบบได้ และหลบเลี่ยงการตรวจจับได้ โดยไม่จำเป็นต้องมีความรู้ทางเทคนิคในการโจมตีขั้นสูงก็สามารถใช้งานได้

ตัวระบบมี SMTP infrastructure แบบรวมศูนย์เพื่อแพร่กระจาย spam อีเมล โดยอีเมลที่ติดตามได้ 50% มีต้นทางมาจากบริการอินเทอร์เน็ตที่ให้บริการโดย iomart (สหราชอาณาจักร) และ HostPapa (สหรัฐอเมริกา)

แคมเปญ Phishing นี้สามารถปลอมแปลงเป็นผู้ให้บริการอีเมล และบริการอื่น ๆ มากกว่า 114 ราย รวมถึง Gmail, Outlook, Yahoo, DHL, Maersk และ RakBank โดยส่งข้อความที่มี subject ที่ได้รับการออกแบบมาเพื่อกระตุ้นให้ผู้รับดำเนินการอย่างเร่งด่วน เช่น “ต้องดำเนินการ: ปิดใช้งานบัญชี” โดยอีเมลจะถูกส่งในหลายภาษา รวมถึงภาษาอังกฤษ สเปน รัสเซีย และแม้แต่จีน และสามารถปลอมแปลงชื่อและที่อยู่ของผู้ส่งได้

หากเหยื่อคลิกลิงก์ที่เป็นอันตรายในข้อความ ก็จะเข้าสู่กระบวนการโจมตีแบบ open redirect exploits บนแพลตฟอร์มเทคโนโลยีโฆษณา เช่น Google DoubleClick ซึ่งหลายครั้งจะมาจาก WordPress sites ที่ถูกโจมตี โดเมนปลอม และบริการโฮสติ้งฟรี

เมื่อเหยื่อไปถึงเว็บไซต์ปลายทางแล้ว เครื่องมือ phishing จะโหลด และตรวจสอบ MX record ของโดเมนอีเมลของเหยื่อโดยใช้ DoH ผ่านทาง Google หรือ Cloudflare และต่อมาก็จะโหลดหน้าล็อกอินปลอมโดยกรอกอีเมลของเหยื่อโดยอัตโนมัติ

เมื่อเหยื่อกรอกข้อมูล credentials แล้ว ข้อมูลดังกล่าวจะถูกส่งต่อไปยัง Hacker ผ่าน AJAX requests ไปยังเซิร์ฟเวอร์ภายนอก และ PHP scripts ที่โฮสต์บนหน้าฟิชชิ่ง นอกจากนี้ยังสามารถส่งต่อแบบ Real-time โดยใช้ Telegram bot webhooks ได้อีกด้วย

เมื่อทำการกรอกข้อมูลเป็นครั้งแรก จะมีข้อความแจ้งข้อผิดพลาดว่า “รหัสผ่านไม่ถูกต้อง กรุณากรอกอีเมล รหัสผ่านที่ถูกต้อง” เพื่อให้เหยื่อกรอกรหัสผ่านใหม่อีกครั้ง เพื่อให้แน่ใจว่าข้อมูลถูกต้อง เมื่อเหยื่อทำเช่นนั้นแล้ว จะถูกส่งต่อไปยังหน้าการยืนยันตัวตนที่ถูกต้องเพื่อลดความน่าสงสัย

DoH และ DNS MX

การใช้ DoH และ DNS MX ทำให้ Morphing Meerkat โดดเด่นจากเครื่องมืออื่น ๆ ที่คล้ายกัน เนื่องจากเป็นเทคนิคขั้นสูงที่ช่วยในด้านการโจมตีได้เป็นอย่างดี

DNS over HTTPS (DoH) เป็นโปรโตคอลที่ดำเนินการ DNS resolution โดยใช้ HTTPS requests ที่เข้ารหัส แทน DNS queries ที่ใช้ UDP แบบ plaintext ดั้งเดิม

MX (Mail Exchange) record เป็น type หนึ่งของ DNS record ที่แจ้งให้อินเทอร์เน็ตทราบว่าเซิร์ฟเวอร์ใดจัดการอีเมลสำหรับโดเมนที่กำหนด

เมื่อเหยื่อคลิกลิงก์ใน phishing เครื่องมือ phishing kit จะถูกโหลดลงในเบราว์เซอร์ และส่ง DNS request ไปยัง Google หรือ Cloudflare เพื่อค้นหา MX records ของ domain อีเมลของพวกเขา วิธีการดังกล่าวช่วยหลีกเลี่ยงการตรวจจับได้ เนื่องจาก query เกิดขึ้นในฝั่งไคลเอนต์ และการใช้ DoH จะช่วยหลีกเลี่ยงจากการตรวจสอบ DNS

เมื่อระบุผู้ให้บริการอีเมลจาก MX record แล้ว phishing kit จะสามารถส่งแคมเปญ Phishing ที่ตรงกันให้กับเหยื่อได้

Infoblox เสริมว่า แนวทางป้องกันที่แนะนำในการรับมือกับ Phishing ประเภทนี้ก็คือ "การใช้ DNS control ที่เข้มงวดยิ่งขึ้น เพื่อไม่ให้ผู้ใช้สามารถเชื่อมต่อกับ DoH servers หรือการบล็อกการเข้าถึงของผู้ใช้ใน adtech หรือ file sharing infrastructure ที่ไม่สำคัญต่อธุรกิจ"

 

ที่มา : bleepingcomputer.