344/68 (IT) ประจำวันอังคารที่ 16 กันยายน 2568
Okta Threat Intelligence เปิดเผยการค้นพบแพลตฟอร์มฟิชชิงรูปแบบใหม่ชื่อ VoidProxy ที่จัดอยู่ในกลุ่ม Phishing-as-a-Service (PhaaS) โดยเป็นบริการที่มอบเครื่องมือครบวงจรให้อาชญากรไซเบอร์ใช้ดำเนินการโจมตี จุดเด่นคือสามารถเจาะผ่านระบบ Multi-Factor Authentication (MFA) ของผู้ใช้งาน Microsoft และ Google ด้วยเทคนิค Adversary-in-the-Middle (AitM) เพื่อดักจับข้อมูลสำคัญแบบเรียลไทม์
จากรายงานลงวันที่ 11 กันยายน 2025 ทีมวิจัยของ Okta ระบุว่าการโจมตีเริ่มต้นจาก Phishing Email ที่ถูกส่งจากบัญชีอีเมลของผู้ให้บริการที่ถูกเจาะ (Email Service Providers – ESPs) เช่น Constant Contact, Active Campaign หรือ NotifyVisitors ทำให้เลี่ยงการตรวจจับของ Spam Filter ได้ เมื่อเหยื่อกดลิงก์จะถูกนำไปยังเว็บไซต์ที่เลียนแบบหน้า Login ของ Microsoft หรือ Google อย่างแนบเนียน เมื่อกรอก Username, Password และ MFA Codes ข้อมูลทั้งหมดจะถูก VoidProxy ดักจับ ก่อนถูกนำไปใช้ขโมย Session Cookie ซึ่งทำให้ผู้โจมตีสามารถเข้าถึงบัญชีได้เสมือนเป็นผู้ใช้จริง โดยไม่ต้องผ่านการยืนยันตัวตนอีก
นักวิจัยพบว่า VoidProxy ถูกออกแบบด้วยโครงสร้างสองชั้น ได้แก่ Front-End แบบ Disposable ที่สามารถทิ้งได้เมื่อถูกตรวจพบ และ Back-End แบบ Resilient ที่คงอยู่เพื่อให้โจมตีต่อไปได้ พร้อมเทคนิค Anti-Analysis หลายชั้น เช่น Redirect, การใช้บัญชีอีเมลที่ถูกเจาะ และ Cloudflare CAPTCHA เพื่อหลบเลี่ยงการติดตาม ข้อมูลที่ถูกขโมยถูกส่งแบบเรียลไทม์ไปยังอาชญากรผ่าน Admin Panel และแพลตฟอร์ม เช่น Telegram ทั้งนี้ VoidProxy ถูกเปิดโปงได้เพราะไม่สามารถเจาะบัญชีที่ป้องกันด้วย Okta FastPass (Phishing-Resistant Authenticator) ได้สำเร็จ ทำให้นักวิจัยสามารถถอดรหัสโครงสร้างการทำงานของแพลตฟอร์มได้ทั้งหมด
แหล่งข่าว https://hackread.com/voidproxy-phishing-service-bypasses-mfa-microsoft-google/
