หน้าแรก Security Data Leak Tycoon2FA แพลตฟอร์มฟิชชิ่งพัฒนาขึ้นอีกขั้น มุ่งเป้าไปยังกลุ่มผู้ใช้ Microsoft 365

Tycoon2FA แพลตฟอร์มฟิชชิ่งพัฒนาขึ้นอีกขั้น มุ่งเป้าไปยังกลุ่มผู้ใช้ Microsoft 365

แพลตฟอร์ม Phishing-as-a-Service (PhaaS) ที่ชื่อว่า Tycoon2FA ซึ่งเป็นที่รู้จักจากความสามารถในการหลีกเลี่ยงระบบยืนยันตัวตนแบบหลายปัจจัย (Multi-Factor Authentication) ของบัญชี Microsoft 365 และ Gmail ได้รับการอัปเดตล่าสุดที่ช่วยเพิ่มศักยภาพในการซ่อนตัวและหลบเลี่ยงการตรวจจับจากระบบความปลอดภัย

Tycoon2FA ถูกค้นพบครั้งแรกโดยนักวิจัยจาก Sekoia ในเดือนตุลาคม 2023 และมีการรายงานว่าแพลตฟอร์มนี้ได้มีการพัฒนาต่อยอดอย่างต่อเนื่อง ทำให้มีความซับซ้อนและมีประสิทธิภาพมากขึ้นในการดำเนินการโจมตีแบบฟิชชิ่ง

ล่าสุด Trustwave รายงานว่า กลุ่มผู้โจมตีที่อยู่เบื้องหลัง Tycoon2FA ได้เพิ่มฟีเจอร์ใหม่หลายอย่างที่ช่วยเพิ่มความสามารถในการหลบเลี่ยงระบบตรวจจับและการป้องกันของอุปกรณ์ปลายทาง โดยมีการเปลี่ยนแปลงสำคัญดังนี้:

  1. การใช้ตัวอักษร Unicode ที่มองไม่เห็น: เป็นเทคนิคที่ซ่อนข้อมูลไบนารีภายใน JavaScript โดยไม่สามารถมองเห็นได้ด้วยตาเปล่า เทคนิคนี้ถูกรายงานครั้งแรกโดย Juniper Threat Labs ในเดือนกุมภาพันธ์ 2024 โดย payload จะสามารถถอดรหัสและทำงานได้ตามปกติในระหว่างรันไทม์ ขณะเดียวกันก็สามารถหลบเลี่ยงการวิเคราะห์ด้วยมนุษย์และเครื่องมือจับรูปแบบคงที่ได้อย่างมีประสิทธิภาพ
  2. เปลี่ยนมาใช้ CAPTCHA ที่โฮสต์เองผ่าน HTML5 canvas: แทนการใช้บริการ Cloudflare Turnstile แบบเดิม โดย CAPTCHA แบบใหม่นี้มีองค์ประกอบที่สุ่มได้ ช่วยให้หลีกเลี่ยงการถูกระบุลักษณะเฉพาะ (fingerprinting) และลดโอกาสในการถูกตั้งค่าสถานะจากระบบประเมินชื่อเสียงของโดเมน นอกจากนี้ยังช่วยให้ผู้โจมตีสามารถควบคุมเนื้อหาบนหน้าเว็บได้อย่างยืดหยุ่นมากขึ้น
  3. การเพิ่ม JavaScript ป้องกันการดีบัก (Anti-Debugging): มีความสามารถในการตรวจจับเครื่องมืออัตโนมัติอย่าง PhantomJS และ Burp Suite พร้อมทั้งบล็อกการกระทำที่เกี่ยวข้องกับการวิเคราะห์หรือตรวจสอบทางเทคนิค

นอกจากนี้ หากระบบตรวจพบพฤติกรรมน่าสงสัย หรือหาก CAPTCHA ไม่ผ่าน (ซึ่งอาจสื่อถึงการเข้าถึงจากบอตด้านความปลอดภัย) ผู้ใช้จะถูกเปลี่ยนเส้นทางไปยังหน้าเว็บหลอก หรือถูกส่งไปยังเว็บไซต์จริง เช่น rakuten.com เพื่อเบี่ยงเบนความสนใจและลดความเสี่ยงในการถูกจับได้

Trustwave สรุปว่า แม้แต่ละเทคนิคจะไม่ใช่เรื่องใหม่ในตัวมันเอง แต่เมื่อถูกนำมาใช้ร่วมกันแล้ว จะเพิ่มความซับซ้อนในการตรวจจับและวิเคราะห์อย่างมาก ทำให้การตรวจสอบและรื้อถอนโครงสร้างของแพลตฟอร์มฟิชชิ่งนี้เป็นไปได้ยากยิ่งขึ้น

รายละเอียด – BPC

บทความที่เกี่ยวข้องเพิ่มเติมจากผู้เขียน

ระวังภัย! Quishing เทคนิคการโจมตีผ่าน QR Code และวิธีป้องกันตัวเอง

อีลอน มัสก์ ยืนยันเจ้าหน้าที่รัฐต้องรายงานผลผ่านทางอีเมล์! มิฉะนั้นถือว่า “คุณได้ลาออก”

แฮ็กเกอร์ใช้กลยุทธ์ CAPTCHA บนไฟล์ PDF หลอกขโมยข้อมูลบัตรเครดิต

ตำรวจไทยจับกุมคนขับรถพร้อมอุปกรณ์ส่งข้อความฟิชชิง สร้างความเสียหายใหญ่ในกรุงเทพฯ

Microsoft กำลังตรวจสอบปัญหาบั๊กใน Outlook เพื่อหาสาเหตุทำแอพค้าง และล็อกอินไม่ได้

Proofpoint และ CyberArk ขยายความร่วมมือเพื่อเสริมความปลอดภัย Identity Security

Gmail เตรียมปิดหน้าวิวแบบ Basic HTML ! คุณจำเป็นต้องใช้บราวเซอร์รุ่นใหม่แทน

มัลแวร์ DarkGate จ้องเล่นงานผู้ใช้ MS Teams ผ่านข้อความฟิชชิ่ง

JP Morgan โดนสั่งปรับฐานเผลอลบอีเมลที่ต้องเก็บข้อมูลไว้ตามกฎหมาย