การโจมตีฟิชชิ่งรูปแบบใหม่ที่ซับซ้อนกำลังกำหนดเป้าหมายไปที่นักพัฒนาและเจ้าของธุรกิจขนาดเล็กผ่านอีเมลสนับสนุนปลอม ที่สามารถเลี่ยงตัวกรองสแปมแบบดั้งเดิมและใช้ประโยชน์จากแพลตฟอร์มที่น่าเชื่อถือเช่น Google Sites การโจมตีซึ่งส่งผลกระทบต่อผู้ดำเนินการเว็บไซต์หลายราย ใช้กลวิธีทางสังคมวิศวกรรมที่ฉลาดโน้มน้าวให้เหยื่อปฏิบัติตามคำสั่งอันตรายที่ติดตั้งมัลแวร์ขโมยข้อมูลลงในระบบของพวกเขา
วิธีการโจมตีที่ถูกเปิดเผย
แคมเปญฟิชชิ่งเริ่มต้นด้วยอีเมลสอบถามการสนับสนุนที่ดูเหมือนถูกต้องตามกฎหมาย ซึ่งบ่นเกี่ยวกับปัญหาของเว็บไซต์ที่ไม่มีอยู่จริง โดยเฉพาะอย่างยิ่งกล่องโต้ตอบยินยอมคุกกี้ปลอมที่ไม่ได้มีอยู่จริงบนเว็บไซต์เป้าหมาย เมื่อนักพัฒนาตอบกลับอีเมลเริ่มต้นเหล่านี้ พวกเขาจะได้รับข้อความติดตามที่มีลิงก์ไปยังสิ่งที่ดูเหมือนจะเป็นภาพหน้าจอ Google Drive แต่จริง ๆ แล้วนำไปสู่หน้า Google Sites ที่โฮสต์ระบบยืนยัน CAPTCHA ปลอม หน้าเว็บยืนยันปลอมเหล่านี้จะคัดลอกคำสั่งอันตรายไปยังคลิปบอร์ดของเหยื่อโดยอัตโนมัติ โดยปลอมแปลงเป็นขั้นตอนการยืนยันง่ายๆ
การโจมตีกำหนดเป้าหมายผู้ใช้ macOS เป็นพิเศษด้วยคำสั่งที่ดาวน์โหลดและเรียกใช้มัลแวร์จากเว็บไซต์ถูกกฎหมายที่ถูกบุกรุก หนึ่งในเพย์โหลดที่ได้รับการวิเคราะห์จะดาวน์โหลดไฟล์ปฏิบัติการไบนารีสากลที่ทำงานได้ทั้งบน Mac รุ่น Intel และ Apple Silicon จากนั้นทำให้สามารถปฏิบัติการได้และเรียกใช้ทันที มัลแวร์นี้ทำงานเป็นโทรจันการเข้าถึงจากระยะไกลที่มีความสามารถในการขโมยข้อมูลอย่างกว้างขวางจากระบบที่ติดเชื้อ
ไฟล์ไบนารีเองดูเหมือนจะเป็นโทรจันการเข้าถึงจากระยะไกลและมัลแวร์ขโมยข้อมูลสำหรับ MacOS มันให้ reverse-shell และขโมยไฟล์ที่มีส่วนขยายต่างๆ รวมถึงเอกสาร กระเป๋าเงินคริปโตเคอร์เรนซี ข้อมูลเบราว์เซอร์ และฐานข้อมูลคีย์เชนของ MacOS
รูปแบบการโจมตีที่พบบ่อย:
- อีเมลสนับสนุนปลอมเกี่ยวกับกล่องโต้ตอบยินยอมคุกกี้ที่ไม่มีอยู่จริง
- หน้าเว็บ Google Sites ที่มีการยืนยัน CAPTCHA ปลอม
- การคัดลอกคำสั่งไปยังคลิปบอร์ดโดยอัตโนมัติ
- การใช้โดเมนที่น่าเชื่อถือในทางที่ผิด: sites.google.com, Dropbox, DocuSign
- กลยุทธ์วิศวกรรมสังคมที่สร้างความเร่งด่วน (การอ้างเหตุผลเกี่ยวกับการทำงานของเว็บไซต์)
 |
|---|
| ขั้นตอนที่เกี่ยวข้องในการโจมตีแบบรันโค้ดจากระยะไกลเน้นย้ำถึงความเสี่ยงที่เกี่ยวข้องกับการรันคำสั่งที่ไม่น่าเชื่อถือ |
เหตุใดการโจมตีครั้งนี้จึงอันตรายเป็นพิเศษ
สิ่งที่ทำให้แคมเปญนี้น่ากังวลเป็นพิเศษคือการใช้ประโยชน์จากโดเมนและแพลตฟอร์มน่าเชื่อถือ ผู้โจมตีโฮสต์เนื้อหาอันตรายของพวกเขาบน sites.google.com ใช้ประโยชน์จากความไว้วางใจของผู้ใช้ในโครงสร้างพื้นฐานของ Google นักวิจัยด้านความปลอดภัยระบุว่าหลายองค์กรได้บล็อก sites.google.com ในระดับองค์กรแล้ว เนื่องจากการละเมิดที่เกิดขึ้นบ่อยครั้งในการโจมตีที่คล้ายกัน อีเมลฟิชชิ่งเองมักจะเลี่ยงตัวกรองสแปมเพราะข้อความเริ่มต้นดูเหมือนถูกต้องตามกฎหมาย ในขณะที่เฉพาะข้อความติดตามที่มีลิงก์อันตรายเท่านั้นที่ถูกตั้งค่าสถานะ
ความสามารถของมัลแวร์นี้มีอย่างกว้างขวาง โดยกำหนดเป้าหมายไปที่ข้อมูลผู้ใช้ที่ละเอียดอ่อน รวมถึงเซสชันและคุกกี้ของเบราว์เซอร์ คีย์ SSH โทเค็น API กระเป๋าเงินคริปโตเคอร์เรนซี โปรไฟล์ VPN และแม้แต่ Apple Notes การวิเคราะห์แสดงให้เห็นว่ามัลแวร์นี้ถูกปิดบังในระดับปานกลางโดยใช้ XOR cipher เพื่อซ่อนทั้งข้อมูลภายในและการสื่อสารกับเซิร์ฟเวอร์คำสั่งและควบคุม การโจมตีนี้แสดงให้เห็นว่าสังคมวิศวกรรมสามารถเลี่ยงมาตรการรักษาความปลอดภัยทางเทคนิคได้อย่างไร โดยการโน้มน้าวให้ผู้ใช้ยินยอมเรียกใช้โค้ดอันตราย
การวิเคราะห์ความสามารถของมัลแวร์:
- กำหนดเป้าหมายทั้งสถาปัตยกรรม Intel x86_64 และ Apple Silicon ARM64
- ขโมยไฟล์ที่มีนามสกุล: .txt, .rtf, .doc, .docx, .xls, .xlsx, .key, .wallet, .jpg, .dat, .pdf, .pem, .asc, .ppk, .rdp, .sql, .ovpn, .kdbx, .conf, .json
- ขโมยข้อมูลเซสชันและคุกกี้ของเบราว์เซอร์
- เข้าถึงฐานข้อมูล keychain ของ MacOS
- ดึงข้อมูลโน้ตทั้งหมดจากแอปพลิเคชัน Notes ของ MacOS
- ใช้การเข้ารหัสแบบ XOR cipher เพื่อปกปิดข้อมูลและการสื่อสาร
แนวโน้มที่กว้างขึ้นของการใช้แพลตฟอร์มในทางที่ผิด
เหตุการณ์นี้เน้นย้ำถึงปัญหาที่กำลังเติบโตซึ่งผู้โจมตีใช้แพลตฟอร์มและบริการที่ถูกกฎหมายในทางที่ผิดเพื่อเพิ่มความน่าเชื่อถือให้กับแผนการของพวกเขา นอกเหนือจาก Google Sites แล้ว ผู้เชี่ยวชาญด้านความปลอดภัยรายงานว่าเห็นการโจมตีที่คล้ายกันโดยใช้ Dropbox, DocuSign และบริการที่น่าเชื่อถืออื่นๆ เพื่อโฮสต์เพย์โหลดอันตราย ผู้โจมตีใช้ประโยชน์จากความคุ้นเคยของผู้ใช้กับแพลตฟอร์มเหล่านี้เพื่อเลี่ยงความสงสัย โดยรู้ว่าผู้คนมีแนวโน้มที่จะเชื่อถือลิงก์จากโดเมนที่รู้จักกันดี
เศรษฐศาสตร์ของการโจมตีเหล่านี้ทำให้พวกมันคงอยู่อย่างต่อเนื่องเป็นพิเศษ ตามที่ผู้แสดงความคิดเห็นหนึ่งคนระบุไว้ ส่วนที่น่ากลัวคือใช้เวลาหนึ่งบ่ายมากที่สุดในการขยายการโจมตีประเภทนี้ไปยังผู้เสียหายที่อาจเกิดขึ้นหลายพันคน และแม้อัตราความสำเร็จ 5% จะทำให้เกิดการโจมตีที่สำเร็จหลายสิบครั้ง สิ่งกีดขวางต่ำในการเข้าถึงนี้รวมกับรางวัลที่มีศักยภาพสูง ทำให้แน่ใจได้ว่าแคมเปญเหล่านี้จะยังคงพัฒนาต่อไปและกำหนดเป้าหมายไปที่เหยื่อรายใหม่
การตอบสนองของชุมชนและมาตรการป้องกัน
ชุมชนด้านเทคนิคได้ตอบสนองด้วยทั้งการวิเคราะห์และคำแนะนำเชิงปฏิบัติสำหรับการหลีกเลี่ยงการโจมตีที่คล้ายกัน นักวิจัยด้านความปลอดภัยได้ย้อนกลับวิศวกรรมมัลแวร์อย่างรวดเร็ว ระบุว่ามันคล้ายกับ AMOS (Atomic MacOS Stealer) และอธิบายรายละเอียดความสามารถในการขโมยข้อมูล หลายคนเน้นย้ำว่าในขณะที่การโจมตีดูซับซ้อน แต่มันยังต้องการความผิดพลาดของผู้ใช้หลายครั้งเพื่อให้สำเร็จ - ตั้งแต่การคลิกลิงก์ที่น่าสงสัย ไปจนถึงการวางและเรียกใช้คำสั่งที่ไม่รู้จักในเทอร์มินัล
สำหรับการป้องกัน ผู้เชี่ยวชาญแนะนำแนวทางปฏิบัติสำคัญหลายประการ: ตรวจสอบปลายทางจริงของ URL ที่ย่อหรือปลอมแปลงเสมอ อย่าเรียกใช้คำสั่งจากแหล่งที่ไม่น่าเชื่อถือโดยไม่มีการตรวจสอบอย่างละเอียด และใช้เครื่องมือเช่นบริการสแกนไวรัสสำหรับไฟล์ที่น่าสงสัย บางคนแนะนำมาตรการทางเทคนิคเช่นการตรวจสอบเนื้อหาคลิปบอร์ดด้วย hex editor ก่อนวางลงในเทอร์มินัล ในขณะที่คนอื่นๆ เน้นความสำคัญของนโยบายองค์กรที่บล็อกโดเมนความเสี่ยงสูงเช่น sites.google.com ในระดับเครือข่าย
วิวัฒนาการที่ต่อเนื่องของการโจมตีเหล่านี้แสดงให้เห็นว่าการแก้ปัญหาเชิงเทคนิคเพียงอย่างเดียวไม่เพียงพอ เมื่อแคมเปญฟิชชิ่งมีความเป็นส่วนตัวมากขึ้นและใช้ประโยชน์จากเนื้อหาที่สร้างโดย AI การให้ความรู้ผู้ใช้และการสงสัยยังคงเป็นเกราะป้องกันที่สำคัญ ฉันทามติของชุมชนชี้ให้เห็นว่าในขณะที่แพลตฟอร์มเช่น Google สามารถทำได้มากขึ้นเพื่อป้องกันการละเมิด ความรับผิดชอบขั้นสุดท้ายอยู่กับผู้ใช้ที่จะต้องระมัดระวังต่อกลยุทธ์ทางสังคมวิศวกรรมที่ซับซ้อนมากขึ้น