RiskIQ บริษัทด้าน Threat Intelligence ได้เปิดเผยการค้นพบเครื่องมือใหม่สำหรับคนร้ายที่สามารถช่วยสร้างหน้า Phishing เพื่อใช้หลอกเหยื่อได้ในแบบเรียลไทม์ ซึ่งมีขนาดเล็กและใช้ได้ง่ายจึงพบเห็นการใช้งานแล้วจำนวนมาก
เครื่องมือนี้ชื่อว่า ‘LogoKit’ ซึ่งมีการนำไปใช้ในแคมเปญ Phishing จริงแล้วอย่างแพร่หลายกว่า 700 เว็บไซต์ในรอบเดือนที่ผ่านมา ถามว่าเครื่องมือนี้แตกต่างจากในอดีตอย่างไร ต้องบอกกก่อนว่าเครื่องมือสร้างหน้า Phishing ก่อนหน้านั้นมีการใช้งานที่ค่อนข้างยุ่งยากมี Layout ซับซ้อนและใช้หลายไฟล์ ในขณะที่ LogoKit เป็นแค่ JSP Function ที่ดึงไปฝังได้ง่ายๆ โดยไอเดียคือถูกออกแบบมาให้ใช้งานกับ Document Object Model (DOM) ที่อยู่ใน Presentation layer ของเว็บไซต์ ทำให้สคิร์ปต์สามารถแก้ไขเนื้อหาที่ปรากฏและ HTML Form โดยไม่ต้องปฏิสัมพันธ์กับผู้ใช้งาน
สำหรับการทำงานผู้เชี่ยวชาญพบว่าเมื่อเหยื่อกดลิงก์เข้ามา (ตามภาพประกอบ) LogoKit จะเข้าไปดึงเอาโลโก้มาจากบริการ Third-party เช่น Clearbit หรือ Google Favicon database เป็นต้น จากนั้นก็จะ Auto-fill อีเมลเหยื่อลงในช่อง Email หรือ Username ให้ ซึ่งเหยื่ออาจจะรู้สึกคุ้นเคยว่าตนเคยใช้บริการนี้มาก่อน จากนั้น LogoKit จะส่ง AJAX Request ข้อมูลเหยื่อไปยังปลายทาง และ Redirect ไปยังหน้าเพจจริงต่อไป
จากการติดตามของ RiskIQ พบว่า LogoKit กำลังได้รับความนิยมเพิ่มขึ้นเรื่อยๆ โดยมีการนำไปใช้ทั้งหน้าล็อกอินง่ายหรือฝังไว้ใน HTML ที่ทำตัวเป็นบริการอื่น โดยคนร้ายอาจจะแฮ็กเว็บไซต์ได้แล้วและฝัง LogoKit เข้าไปหรือไปโฮสต์ไว้ใน Infrastructure ของตนเองก็ได้ รวมถึงยังพบการนำไปวางไว้ใน Object Storage ปกติที่ทำให้ดูเนียนขึ้น ปัจจุบันพบการใช้งาน Phishing กับบริการอย่าง SharePoint, Adobe Document Cloud, OneDrive หรือ Office365 ไปจนถึง Crytocurrency Exchange
ท่านใดสนใจในการวิเคราะห์เชิงเทคนิคสามารถติดตามเพิ่มเติมได้ที่ https://community.riskiq.com/article/a068810a
ที่มา : https://www.zdnet.com/article/new-cybercrime-tool-can-build-phishing-pages-in-real-time/
from:https://www.techtalkthai.com/new-phishing-page-creator-tool-logokit/
techfeedthai 