ภัยเงียบ ฟิชชิ่งแนวใหม่ใช้ PHP ฝั่ง Server หลอกพนักงานแบบแนบเนียน

ตรวจพบแคมเปญฟิชชิ่งขั้นสูง เลี่ยงการตรวจจับด้วยการตรวจสอบฝั่งเซิร์ฟเวอร์

มีการตรวจพบแคมเปญฟิชชิ่งขั้นสูงที่มุ่งเป้าไปยังพอร์ทัลของพนักงานและสมาชิก โดยใช้เทคนิคการตรวจสอบข้อมูลทางฝั่งเซิร์ฟเวอร์เพื่อหลบเลี่ยงระบบตรวจจับ

ผู้โจมตีกำลังใช้ ชุดเครื่องมือฟิชชิ่งที่เขียนด้วย PHP เพื่อขโมยข้อมูลรับรอง (credentials) ผ่านหน้าเข้าสู่ระบบปลอม ซึ่งโครงสร้างพื้นฐานของการโจมตีสามารถย้อนรอยไปยังบริษัท Chang Way Technologies Co. Limited ที่มีที่ตั้งในประเทศรัสเซีย

แคมเปญนี้ถูกค้นพบจากการสืบสวนของนักวิจัยจาก Malwarebytes และ Silent Push ที่เคยรายงานการโจมตีลักษณะเดียวกันที่มุ่งเป้าไปยังพนักงานของ Lowe’s

นักวิจัยได้ใช้ชุดข้อมูลจาก HuntSQL Crawler เพื่อสร้างแบบสอบถามเฉพาะ ซึ่งเผยให้เห็นหลายโดเมนที่เกี่ยวข้องกับฟิชชิ่ง โดยมีการอ้างอิงถึง “xxx.php” ใน HTML และ “/online” ใน URL

หนึ่งในโดเมนที่โดดเด่นคือ myinfoaramapay[.]com ซึ่งปลอมตัวเป็นพอร์ทัล MyAccess ของ Aramark

เว็บไซต์ปลอมดังกล่าวสร้างหน้าเข้าสู่ระบบที่เลียนแบบของจริงอย่างแนบเนียน โดยหลอกขโมยข้อมูลผู้ใช้ก่อนจะเปลี่ยนเส้นทางไปยังหน้าล็อกอินจริงของ Aramark

ต่างจากเวอร์ชันก่อน ๆ ที่มีการตรวจสอบข้อมูลทางฝั่งผู้ใช้ (client-side) โครงสร้างใหม่ได้เปลี่ยนไปใช้ การตรวจสอบข้อมูลฝั่งเซิร์ฟเวอร์ ผ่าน endpoint ที่ชื่อว่า “check.php”

พบเทคนิคขั้นสูงในการหลีกเลี่ยงระบบยืนยันตัวตน 2 ชั้น (2FA)

ผู้ไม่หวังดีได้นำเทคนิคที่ซับซ้อนมาใช้ในการหลบเลี่ยงระบบยืนยันตัวตนแบบสองชั้น โดยมีโดเมนหนึ่งปลอมเป็น Highmark Healthcare (hignmarkedmemb[.]com) ซึ่งมีฟังก์ชันขั้นสูงที่สามารถจำลองกระบวนการ 2FA ทั้งหมด

เว็บไซต์ฟิชชิ่งเวอร์ชันใหม่นี้ ใช้ดีไซน์แบบ Material Design เพื่อเลียนแบบ UI ขององค์กร และใช้ JavaScript ควบคุมการส่งรหัส OTP ผ่านฟังก์ชัน “getUpdates2fa()” ซึ่งแสดงให้เห็นถึงวิวัฒนาการอย่างชัดเจนของกลยุทธ์ผู้โจมตี

เมื่อผู้ใช้กรอกข้อมูลเสร็จ สคริปต์จะเรียกใช้งาน check.php ทุกวินาทีเพื่อตรวจสอบข้อมูลรับรองแบบเรียลไทม์จากฝั่งเซิร์ฟเวอร์

ตามรายงานของนักวิจัยจาก Hunt การตรวจสอบข้อมูลแบบฝั่งเซิร์ฟเวอร์นี้ทำให้ระบบรักษาความปลอดภัยและนักวิเคราะห์ยากต่อการตรวจจับมากขึ้น เนื่องจากจุดสังเกตสำคัญถูกซ่อนไว้

โครงสร้างพื้นฐานของการโจมตี

ระบบโฮสติ้งของผู้โจมตีประกอบด้วยอย่างน้อย 12 โดเมนบน IP: 80.64.30[.]101 ที่พุ่งเป้าไปยังองค์กรต่าง ๆ เช่น AT&T, AFLAC และพอร์ทัลของบริษัทอื่น ๆ

นอกจากนี้ยังมีเซิร์ฟเวอร์อีกเครื่องที่ IP: 80.64.30[.]100 ซึ่งโฮสต์โดเมนอันตรายเพิ่มเติมที่ปลอมตัวเป็นบริการอย่าง Canadian E-Services, พอร์ทัลพนักงานของ United Airlines, และหน้าเข้าสู่ระบบองค์กรอื่น ๆ

ระบบโฮสติ้งหลักสามารถสืบย้อนกลับไปยังบริษัท Chang Way Technologies Co. Limited (AS57523) ซึ่งจดทะเบียนในฮ่องกง และเคยเชื่อมโยงกับการแพร่กระจายมัลแวร์และการแสวงหาประโยชน์ทางไซเบอร์มาก่อน

ตัวบ่งชี้การประนีประนอม (IOCs)

ที่อยู่ IP สำคัญได้แก่ 80.64.30[.]100 และ 80.64.30[.]101 ซึ่งเป็นโฮสต์โดเมนฟิชชิ่งจำนวนมาก รวมถึง forurbestexper[.]com, hignmarkedmemb[.]com และ attdomhomepage[.]com

โดเมนเพิ่มเติมที่ให้บริการผ่าน Cloudflare (104.21.32[.]181, 172.67.153[.]52) ได้แก่ myinfoaramapay[.]com และ charterssonidp[.]com

Source: https://cyberpress.org/server-side-phishing-attacks-exploit-employee/

สอบถามหรือปรึกษาเพิ่มเติมได้ที่
💬Line: @monsteronline
☎️Tel: 02-026-6664
📩Email: sales@mon.co.th