123/68 (IT) ประจำวันจันทร์ที่ 31 มีนาคม 2568
นักวิจัยด้านความปลอดภัยทางไซเบอร์เปิดเผยการพบแพลตฟอร์ม Phishing-as-a-Service (PhaaS) ตัวใหม่ที่ใช้ชื่อว่า Morphing Meerkat ซึ่งสามารถเลียนแบบหน้าเข้าสู่ระบบของแบรนด์ต่าง ๆ ได้ถึง 114 แบรนด์ โดยอาศัยการดึงข้อมูลจากระบบบันทึกเมลของ Domain Name System (DNS MX records) เพื่อให้แน่ใจว่าหน้าเข้าสู่ระบบปลอมจะตรงกับบริการอีเมลของเหยื่อ เช่น Gmail, Outlook หรือ Yahoo Infoblox บริษัทด้านข่าวกรอง DNS รายงานว่า แฮกเกอร์ที่อยู่เบื้องหลัง Morphing Meerkat มักใช้ช่องโหว่ของระบบเปลี่ยนเส้นทาง (open redirect) ในแพลตฟอร์มโฆษณา แฮกโดเมนเพื่อนำไปใช้ในการโจมตี และเผยแพร่ข้อมูลล็อกอินที่ถูกขโมยผ่าน Telegram
หนึ่งในแคมเปญที่ใช้เครื่องมือนี้ถูกบันทึกโดย Forcepoint เมื่อเดือนกรกฎาคม 2024 โดยพบว่าอีเมลฟิชชิ่งมักจะแนบลิงก์ไปยังเอกสารปลอม เมื่อคลิกลิงก์จะถูกนำไปยังหน้าเข้าสู่ระบบปลอมที่โฮสต์บน Cloudflare R2 เพื่อขโมยข้อมูลบัญชีของเหยื่อ Morphing Meerkat ยังใช้เว็บไซต์ WordPress ที่ถูกแฮกและช่องโหว่ open redirect บนแพลตฟอร์มโฆษณา เช่น DoubleClick ของ Google เพื่อหลีกเลี่ยงระบบรักษาความปลอดภัย นอกจากนี้ เครื่องมือนี้ยังสามารถแปลข้อความฟิชชิ่งเป็นภาษาต่าง ๆ ได้มากกว่า 12 ภาษา รวมถึงอังกฤษ เกาหลี สเปน รัสเซีย เยอรมัน จีน และญี่ปุ่น ทำให้สามารถโจมตีผู้ใช้ทั่วโลกได้อย่างมีประสิทธิภาพ
จุดเด่นที่ทำให้ Morphing Meerkat แตกต่างจากฟิชชิ่งทั่วไป คือการใช้ DNS MX records ที่ได้จาก Cloudflare หรือ Google เพื่อตรวจสอบผู้ให้บริการอีเมลของเหยื่อ และแสดงหน้าเข้าสู่ระบบปลอมให้ตรงกับบริการที่ใช้งานจริง หากไม่สามารถตรวจสอบได้ จะเปลี่ยนไปใช้หน้าเข้าสู่ระบบของ Roundcube โดยอัตโนมัติ นอกจากนี้ยังมีมาตรการป้องกันการวิเคราะห์ เช่น ปิดการใช้คลิกขวา ปิดการบันทึกหน้าเว็บ และป้องกันการดูซอร์สโค้ด การโจมตีลักษณะนี้ทำให้เหยื่อตกหลุมพรางได้ง่าย เนื่องจากหน้าเว็บที่แสดงขึ้นมีดีไซน์สอดคล้องกับอีเมลฟิชชิ่งต้นทาง ซึ่งช่วยเพิ่มโอกาสให้แฮกเกอร์สามารถหลอกให้เหยื่อป้อนข้อมูลบัญชีของตนลงในฟอร์มปลอมได้อย่างแนบเนียน
แหล่งข่าว https://thehackernews.com/2025/03/new-morphing-meerkat-phishing-kit.html
