นักวิจัยด้านความปลอดภัยทางไซเบอร์เปิดเผยการพบแพลตฟอร์ม Phishing-as-a-Service (PhaaS)
ตัวใหม่ที่ใช้ชื่อว่า Morphing Meerkat ซึ่งสามารถเลียนแบบหน้าเข้าสู่ระบบของแบรนด์ต่าง ๆ ได้ถึง 114 แบรนด์
โดยอาศัยการดึงข้อมูลจากระบบบันทึกเมลของ Domain Name System (DNS MX records)
เพื่อให้แน่ใจว่าหน้าเข้าสู่ระบบปลอมจะตรงกับบริการอีเมลของเหยื่อ เช่น Gmail, Outlook หรือ Yahoo Infoblox
บริษัทด้านข่าวกรอง DNS รายงานว่า แฮกเกอร์ที่อยู่เบื้องหลัง Morphing Meerkat
มักใช้ช่องโหว่ของระบบเปลี่ยนเส้นทาง (open redirect) ในแพลตฟอร์มโฆษณา แฮกโดเมนเพื่อนำไปใช้ในการโจมตี
และเผยแพร่ข้อมูลล็อกอินที่ถูกขโมยผ่าน Telegram
หนึ่งในแคมเปญที่ใช้เครื่องมือนี้ถูกบันทึกโดย Forcepoint เมื่อเดือนกรกฎาคม 2024
โดยพบว่าอีเมลฟิชชิ่งมักจะแนบลิงก์ไปยังเอกสารปลอม เมื่อคลิกลิงก์จะถูกนำไปยังหน้าเข้าสู่ระบบปลอมที่โฮสต์บน
Cloudflare R2 เพื่อขโมยข้อมูลบัญชีของเหยื่อ Morphing Meerkat ยังใช้เว็บไซต์ WordPress
ที่ถูกแฮกและช่องโหว่ open redirect บนแพลตฟอร์มโฆษณา เช่น DoubleClick ของ Google
เพื่อหลีกเลี่ยงระบบรักษาความปลอดภัย นอกจากนี้ เครื่องมือนี้ยังสามารถแปลข้อความฟิชชิ่งเป็นภาษาต่าง ๆ
ได้มากกว่า 12 ภาษา รวมถึงอังกฤษ เกาหลี สเปน รัสเซีย เยอรมัน จีน และญี่ปุ่น
ทำให้สามารถโจมตีผู้ใช้ทั่วโลกได้อย่างมีประสิทธิภาพ
จุดเด่นที่ทำให้ Morphing Meerkat แตกต่างจากฟิชชิ่งทั่วไป คือการใช้ DNS MX records ที่ได้จาก
Cloudflare หรือ Google เพื่อตรวจสอบผู้ให้บริการอีเมลของเหยื่อ
และแสดงหน้าเข้าสู่ระบบปลอมให้ตรงกับบริการที่ใช้งานจริง หากไม่สามารถตรวจสอบได้
จะเปลี่ยนไปใช้หน้าเข้าสู่ระบบของ Roundcube โดยอัตโนมัติ นอกจากนี้ยังมีมาตรการป้องกันการวิเคราะห์ เช่น
ปิดการใช้คลิกขวา ปิดการบันทึกหน้าเว็บ และป้องกันการดูซอร์สโค้ด
การโจมตีลักษณะนี้ทำให้เหยื่อตกหลุมพรางได้ง่าย
เนื่องจากหน้าเว็บที่แสดงขึ้นมีดีไซน์สอดคล้องกับอีเมลฟิชชิ่งต้นทาง
ซึ่งช่วยเพิ่มโอกาสให้แฮกเกอร์สามารถหลอกให้เหยื่อป้อนข้อมูลบัญชีของตนลงในฟอร์มปลอมได้อย่างแนบเนียน
Tag: #เตือนภัยออนไลน์ #Phishing #แฮกเกอร์ #MorphingMeerkat
ที่มา :
https://www.thaicert.or.th/2025/03/31/%e0%b9%80%e0%b8%9c%e0%b8%a2%e0%b9%81%e0%b
8%9e%e0%b8%a5%e0%b8%95%e0%b8%9f%e0%b8%ad%e0%b8%a3%e0%b9%8c%e0%b8%a1-
phishing-as-a-service-
%e0%b8%95%e0%b8%b1%e0%b8%a7%e0%b9%83%e0%b8%ab%e0%b8%a1%e0%b9%88/
