เครื่องมือโจมตี Sneaky2FA อัปเกรดเทคนิค Browser-in-the-Browser หลอกขโมยบัญชี Microsoft 365 อย่างแนบเนียน

เครื่องมือโจมตี Sneaky2FA อัปเกรดเทคนิค Browser-in-the-Browser หลอกขโมยบัญชี Microsoft 365 อย่างแนบเนียน
ThaiCERT ข่าวสารภัยคุกคามทางไซเบอร์
ยอดเข้าชม: 34 views

480/68 (IT) ประจำวันศุกร์ที่ 21 พฤศจิกายน 2568

รายงานล่าสุดจาก Push Security ระบุว่าชุดเครื่องมือโจมตีแบบ Phishing-as-a-Service (PhaaS) ที่ชื่อว่า Sneaky2FA ได้เพิ่มขีดความสามารถด้วยการนำเทคนิค Browser-in-the-Browser (BitB) มาใช้ เพื่อมุ่งเป้าขโมยข้อมูลการเข้าสู่ระบบและ Session Token ของผู้ใช้งาน Microsoft 365 โดยเฉพาะ ซึ่งความน่ากลัวของเทคนิคนี้คือการสร้างหน้าต่างล็อกอินปลอมที่สามารถปรับเปลี่ยนรูปแบบหน้าตาให้สอดคล้องกับระบบปฏิบัติการและเบราว์เซอร์ของเหยื่อโดยอัตโนมัติ เช่น ปรับให้เหมือน Edge บน Windows หรือ Safari บน macOS ซึ่งช่วยให้ผู้ไม่หวังดีสามารถหลอกขโมยข้อมูลและเจาะผ่านระบบยืนยันตัวตนสองชั้น (2FA/MFA) ได้ แม้ผู้ใช้จะเปิดระบบป้องกันไว้ก็ตาม

รูปแบบการโจมตีของ Sneaky2FA จะเริ่มจากการหลอกให้เหยื่อคลิกลิงก์เพื่อดูเอกสาร (เช่น บนโดเมน previewdoc[.]com) เมื่อเหยื่อกดปุ่ม Sign in with Microsoft ระบบจะแสดงหน้าต่าง Pop-up ปลอมที่สร้างจาก iframe ขึ้นมาซ้อนทับ โดยหน้าต่างนี้จะมีการเลียนแบบแถบ URL ที่ดูเหมือนโดเมนที่ถูกต้องของ Microsoft (OAuth pop-up) อย่างแนบเนียน จนทำให้เหยื่อหลงเชื่อ และเบื้องหลังการทำงานนี้ Sneaky2FA ยังคงใช้กลยุทธ์ Attacker-in-the-Middle  หรือการเป็นตัวกลาง (Reverse Proxy) เพื่อส่งต่อข้อมูลการล็อกอินจริงไปยังเซิร์ฟเวอร์ของ Microsoft ทำให้แฮกเกอร์สามารถดักจับทั้งรหัสผ่านและ Session Token ที่ใช้งานได้จริงไปพร้อมกัน    

นอกจากความแนบเนียนในการหลอกลวงแล้ว ทีมนักวิจัยยังพบว่า Sneaky2FA มีการเขียนโค้ดที่ซับซ้อน (Obfuscation) เพื่อหลบเลี่ยงการตรวจจับจากเครื่องมือสแกนความปลอดภัย และมีระบบคัดกรองที่จะพาบอทหรือนักวิจัยไปยังหน้าเว็บปกติแทนหน้าฟิชชิง สำหรับวิธีการตรวจสอบและป้องกันตนเอง ผู้ใช้งานสามารถสังเกตความผิดปกติได้โดยการใช้วิธีคลิกแล้วลาก หน้าต่าง Pop-up ล็อกอินนั้นออกนอกขอบเขตของหน้าต่างเบราว์เซอร์หลัก หากท่านไม่สามารถลากหน้าต่างนั้นออกมาเป็นหน้าต่างแยกอิสระได้ หรือหน้าต่างนั้นไม่ปรากฏเป็นไอคอนแยกบน Taskbar ให้สันนิษฐานทันทีว่าเป็นหน้าต่างปลอมที่กำลังใช้เทคนิค BitB ในการโจมตี นอกจากนี้ยังพบว่าบริการ PhaaS รายอื่น เช่น Raccoon0365/Storm-2246 ก็มีการนำเทคนิค BitB ไปใช้มาแล้ว ก่อนถูก Microsoft และ Cloudflare ใช้มาตรการสกัดกั้นไปแล้ว ดังนั้น ผู้ใช้งานจึงควรเพิ่มความระมัดระวัง และองค์กรควรเสริมมาตรการป้องกันเพื่อรับมือภัยคุกคามที่มีความซับซ้อนเพิ่มขึ้นอย่างต่อเนื่อง

แหล่งข่าว https://www.bleepingcomputer.com/news/security/sneaky2fa-phaas-kit-now-uses-redteamers-browser-in-the-browser-attack/