Sneaky2FA พัฒนากลไกโจมตีใหม่ ใช้เทคนิค Browser-in-the-Browser หลอกขโมยบัญชี Microsoft 365 อย่างแนบเนียน
วันที่โพส 2 ธ.ค. 2568 ผู้ชม 119
รายงานล่าสุดจากบริษัทความปลอดภัยไซเบอร์ Push Security เปิดเผยว่า ชุดเครื่องมือโจมตีแบบ Phishing-as-a-Service (PhaaS) ที่มีชื่อว่า Sneaky2FA ได้เพิ่มความสามารถใหม่ โดยนำเทคนิค Browser-in-the-Browser (BitB) เข้ามาใช้ เพื่อมุ่งเป้าขโมยข้อมูลการเข้าสู่ระบบและ Session Token ของผู้ใช้งาน Microsoft 365 โดยเฉพาะ สร้างความกังวลในวงการความปลอดภัยอย่างมาก เนื่องจากสามารถหลอกเจาะผ่านระบบยืนยันตัวตนสองชั้น (2FA/MFA) ได้ แม้ผู้ใช้จะเปิดใช้งานอยู่ก็ตาม
ความอันตรายของเทคนิค BitB คือ การสร้าง หน้าต่างล็อกอินปลอม ที่เลียนแบบหน้าต่างเบราว์เซอร์จริงได้อย่างแนบเนียน และสามารถ ปรับรูปลักษณ์ให้ตรงกับระบบปฏิบัติการของเหยื่อโดยอัตโนมัติ ไม่ว่าจะเป็น Edge บน Windows หรือ Safari บน macOS ทำให้ผู้ใช้ยากที่จะตรวจพบว่าเป็นหน้าต่างปลอม
รูปแบบการโจมตีของ Sneaky2FA จะเริ่มจากการล่อลวงให้เหยื่อกดลิงก์เพื่อดูเอกสาร (เช่น บนโดเมน previewdoc[.]com) เมื่อผู้ใช้คลิกปุ่ม Sign in with Microsoft ระบบจะสร้าง Pop-up ปลอมจาก iframe ซ้อนขึ้นมาทับบนหน้าเว็บ โดยจำลองแถบ URL ให้เหมือน OAuth ของ Microsoft อย่างแนบเนียน เบื้องหลังการทำงานนี้ยังคงใช้เทคนิค Attacker-in-the-Middle หรือ Reverse Proxy เพื่อส่งต่อข้อมูลเข้าสู่ระบบจริง ทำให้แฮกเกอร์สามารถดักจับทั้งรหัสผ่านและ Session Token ที่ใช้งานได้ทันที
งานวิจัยยังพบว่า Sneaky2FA มีความซับซ้อนภายในสูง ทั้งการทำ Obfuscation เพื่อหลบเลี่ยงระบบสแกนความปลอดภัย รวมถึงมีระบบคัดกรองอัตโนมัติ หากตรวจพบว่าเป็นบอท นักวิจัย หรือเครื่องมือวิเคราะห์ จะเปลี่ยนเส้นทางไปยังหน้าเว็บปกติแทนหน้าโจมตี ทำให้ตรวจจับได้ยากยิ่งขึ้น
ผู้เชี่ยวชาญแนะนำว่า วิธีตรวจสอบเบื้องต้นคือการ ลองคลิกลากหน้าต่าง Pop-up ออกนอกขอบเบราว์เซอร์หลัก หากไม่สามารถแยกออกมาเป็นหน้าต่างอิสระ หรือไม่แสดงเป็นไอคอนบน Taskbar ให้สันนิษฐานได้ทันทีว่าอาจเป็น Pop-up ปลอมที่ใช้เทคนิค BitB
รายงานยังระบุเพิ่มเติมว่า บริการ PhaaS รายอื่น เช่น Raccoon0365/Storm-2246 เคยนำเทคนิค BitB ไปใช้แล้ว ก่อนถูก Microsoft และ Cloudflare ดำเนินมาตรการปิดกั้น อย่างไรก็ตาม ภัยคุกคามลักษณะนี้ยังคงพัฒนาอย่างต่อเนื่อง ทำให้องค์กรจำเป็นต้องเสริมมาตรการป้องกัน พร้อมให้ความรู้กับผู้ใช้งาน เพื่อรับมือกับรูปแบบการโจมตีที่มีความซับซ้อนและแนบเนียนมากขึ้นในปัจจุบัน
