Microsoft Warns of Large-Scale Use of Phishing Kits to Send Millions of Emails Daily
เครื่องมือโอเพ่นซอร์สสำหรับการโจมตีแบบ adversary-in-the-middle (AiTM) กำลังถูกนำมาใช้โดยกลุ่มผู้ไม่ประสงค์ดี Microsoft Threat Intelligence กำลังติดตามกลุ่มผู้ไม่ประสงค์ดีที่อยู่เบื้องหลังการพัฒนาชุดเครื่องมือดังกล่าวภายใต้ชื่อ DEV -1101
การโจมตี AiTM phishing คือความพยายามในการขโมย และดักจับข้อมูลรหัสผ่าน และคุกกี้เซสชั่นของเป้าหมายโดยการติดตั้ง proxy เซิร์ฟเวอร์ระหว่างผู้ใช้กับเว็บไซต์ การโจมตีดังกล่าวมีประสิทธิภาพมาก เนื่องจากมีความสามารถในการหลีกเลี่ยงการป้องกันจาก multi-factor authentication (MFA) DEV-1101 อยู่เบื้องหลัง Phishing Kits ที่กลุ่มผู้โจมตีรายอื่นสามารถซื้อ หรือเช่าไปใช้ได้ ซึ่งจะช่วยลดความยุ่งยากในการเริ่มการโจมตีด้วย Phishing ได้
เครื่องมือโอเพ่นซอร์สจาก DEV-1101 มาพร้อมกับฟีเจอร์ที่ทำให้สามารถตั้งค่าหน้า Landing Page Phishingที่เลียนแบบ Microsoft Office และ Outlook รวมถึงการจัดการการโจมตีได้จากอุปกรณ์พกพา และแม้แต่ใช้การตรวจสอบจาก CAPTCHA เพื่อหลีกเลี่ยงการตรวจจับ
นับตั้งแต่เปิดตัวบริการดังกล่าวในเดือนพฤษภาคม 2565 เครื่องมือมีการปรับปรุงหลายอย่าง ที่สำคัญที่สุดคือความสามารถในการจัดการเซิร์ฟเวอร์ผ่าน Telegram bot ซึ่งปัจจุบันมีราคา 300$ สำหรับรายเดือนปกติ และ 1,00$ สำหรับระดับ VIP
Microsoft ระบุว่าได้ตรวจพบแคมเปญPhishingจํานวนมาก ซึ่งครอบคลุมอีเมล Phishing นับล้านฉบับต่อวันจากหลากหลายกลุ่มที่ใช้ประโยชน์จากเครื่องมือดังกล่าว
ซึ่งรวมถึงกลุ่ม DEV-0928 ที่ Microsoft ระบุว่าเป็นหนึ่งในผู้สนับสนุนที่สำคัญของ DEV-1101 และเชื่อมโยงกับแคมเปญ Phishing ซึ่งประกอบด้วยอีเมลมากกว่าหนึ่งล้านฉบับตั้งแต่เดือนกันยายน 2565 ลำดับการโจมตีเริ่มต้นด้วยข้อความอีเมลในธีมเอกสารที่มีลิงก์ไปยังเอกสาร PDF ซึ่งเมื่อคลิกแล้ว จะนำผู้รับไปยังหน้าเข้าสู่ระบบที่ปลอมเป็น portal ลงชื่อเข้าใช้ของ Microsoft แต่ก่อนหน้านั้นจะมีการให้ผู้ใช้งานกรอกข้อมูล Captcha ก่อน การใส่หน้า CAPTCHA ลงไปทำให้สามารถป้องกันการถูกตรวจสอบจากระบบอัตโนมัติ แต่ทำให้มั่นใจได้ว่าเหยื่อเป็นผู้เข้าใช้งานเอง
ไม่มีความคิดเห็น:
แสดงความคิดเห็น