ชุดฟิชชิ่ง Tycoon 2FA กำหนดเป้าหมายที่ Microsoft 365 ด้วยลูกเล่นใหม่
ชุดฟิชชิ่ง Tycoon 2FA กำหนดเป้าหมายที่ Microsoft 365 ด้วยลูกเล่นใหม่
แคมเปญฟิชชิ่งแบบบริการ (Phishing-as-a-Service หรือ PhaaS) ของ Tycoon2FA ซึ่งเป็นที่รู้จักในเรื่องการข้ามขั้นตอนการยืนยันตัวตนหลายชั้น (MFA) ในบัญชี Microsoft 365 และ Gmail ได้รับการอัปเดตปรับปรุงให้มีความลับและซ่อนตัวจากระบบตรวจจับได้ดียิ่งขึ้น
รายละเอียดการอัปเดตประกอบด้วยหลายแนวทาง เช่น
ซ่อนข้อมูลในโค้ดด้วยตัวอักษรยูนิโค้ดที่มองไม่เห็น
นักโจมตีใช้เทคนิคลับนี้เพื่อซ่อนข้อมูลไบนารีใน JavaScript ทำให้ payload ที่ถูกฝังไว้สามารถถอดรหัสและทำงานได้ตามปกติเมื่อถึงเวลาที่รัน แต่ในขณะเดียวกันก็ยากต่อการตรวจจับโดยการวิเคราะห์แบบสแตติกหรือแม้แต่ตรวจสอบด้วยตา
เปลี่ยนระบบ CAPTCHA จาก Cloudflare Turnstileเป็นระบบที่โฮสต์เอง
การเปลี่ยนแปลงนี้ช่วยให้ผู้โจมตีควบคุมการแสดงผล CAPTCHA ด้วย HTML5 canvas ที่มีองค์ประกอบแบบสุ่ม ซึ่งช่วยลดโอกาสที่โดเมนของพวกเขาจะถูกจัดอันดับในฐานะโดเมนที่เสี่ยงหรือถูกระบุจากระบบประเมินความน่าเชื่อถือ
เพิ่มฟังก์ชันป้องกันการดีบัก (anti-debugging)
ด้วยการใช้ JavaScript ที่ออกแบบมาเพื่อตรวจจับเครื่องมืออัตโนมัติ เช่น PhantomJS หรือ Burp Suite เมื่อพบกิจกรรมที่น่าสงสัยหรือกรณีที่ CAPTCHA ไม่ผ่าน ระบบจะบังคับให้เป้าหมายเห็นหน้า decoy หรือนำทางไปยังเว็บไซต์ที่น่าเชื่อถือจริง เช่น rakuten.com
นอกจากนี้ ยังมีรายงานที่เกี่ยวข้องระบุว่าแนวโน้มการโจมตีด้วยไฟล์ SVG ที่มีการฝัง JavaScript อันตรายนั้นเพิ่มขึ้นอย่างมากในช่วงเวลา 12 เดือนที่ผ่านมา ไฟล์ SVG เหล่านี้ถูกใช้อย่างชาญฉลาดเพื่อปลอมตัวเป็นสัญลักษณ์ต่าง ๆ เช่น ไอคอนเอกสารหรือโลโก้ โดยเมื่อแสดงผลในเบราว์เซอร์ โค้ดที่ฝังอยู่จะถูกเรียกทำงานทันทีและเปลี่ยนเส้นทางผู้ใช้ไปยังหน้าเข้าสู่ระบบปลอมเพื่อขโมยข้อมูลของบัญชี Microsoft 365
สรุปแล้ว การอัปเดตครั้งนี้ของ Tycoon2FA แสดงให้เห็นถึงความซับซ้อนและความชาญฉลาดในการใช้เทคนิคหลบเลี่ยงมาตรการความปลอดภัยในยุคปัจจุบัน ทำให้การตรวจจับและการวิเคราะห์โครงสร้างฟิชชิ่งเหล่านี้เป็นเรื่องท้าทายสำหรับฝ่ายรักษาความปลอดภัยไซเบอร์ และเป็นสัญญาณเตือนให้กับองค์กรและผู้ใช้งานต้องเพิ่มความระมัดระวังในขั้นตอนการตรวจสอบและการยืนยันตัวตนในระบบคลาวด์มากยิ่งขึ้น
ที่มา: bleepingcomputer
ติดต่อสอบถามเกี่ยวกับผลิตภัณฑ์ AntiVirus, DLP, MDM, Laptop, PC, Server, และผลิตภัณฑ์ไอทีอื่นๆอีกมากมายทั้ง Hardware และ Software พร้อมเสนอราคาที่คุ้มค่าและการบริการที่เปี่ยมประสิทธิภาพ
Mobile: 09 5368 5898
Tel: 0 2093 1625
Fax: 0 2093 1675 (Auto)
Email: sales@ampomicrosys.com
Latest Articles
เหตุใดทีม SOC ชั้นนำจึงหันมาใช้ Network Detection and Response
แพ็กเกจ npm ปลอมเลียนแบบ Telegram Bot API เพื่อฝัง SSH Backdoors บนระบบ Linux
ผู้หลอกลวงใช้ Google OAuth เพื่อปลอมตัวเป็น Google ในการโจมตี DKIM แบบรีเพลย์
Wine Lure ของ Cozy Bear ปล่อยมัลแวร์ WineLoader ลงบนนักการทูตสหภาพยุโรป
Microsoft กำหนดให้บัญชีใหม่ทั้งหมดไม่มีรหัสผ่านเป็นค่าเริ่มต้น
