ผลการค้นหา 3 อันดับแรกของ "KakaoTalk" บน Bing เป็นฟิชชิงจากจีนทั้งหมด

ผลการค้นหา 3 อันดับแรกของ "KakaoTalk" บน Bing เป็นฟิชชิงจากจีนทั้งหมด

เมื่อค้นหา "KakaoTalk" บน Bing ผลลัพธ์ 3 อันดับแรก(apps-kakaocorp[.]com, apps-kakaotalk[.]com, pc-kakaotalk[.]com) เป็นฟิชชิงทั้งหมด จากการวิเคราะห์โครงสร้างพื้นฐานและโค้ดพบว่า:

• การกรอง: หากไม่มี Referer+UA จะคืนค่า 500/403 (หลบเลี่ยงการเข้าตรง/สแกนเนอร์อัตโนมัติ)
• โครงสร้างพื้นฐานจากจีน: ลงทะเบียนผ่าน Tencent/DNSpod, ใช้การวิเคราะห์ 51.la, og:locale=zh-cn, เชื่อมโยงกับบัญชี Telegram ของจีน
• การจดทะเบียน: 3 โดเมนถูกจดทะเบียนแบบเป็นชุดห่างกัน 1 วินาที, อยู่ในซับเน็ต /24 เดียวกัน, ออก TLS ในวันเดียวกัน
• มัลแวร์: ตัวติดตั้ง NSIS ที่ปลอมเป็น .scr → ขอสิทธิ์ผู้ดูแลระบบ → ถอดรหัสเพย์โหลดด้วย DcryptDll.dll → วางไฟล์ลง AppData
• การแจกจ่าย: ทั้ง 3 โดเมนรีไดเรกต์ไปยัง URL ของ Cloudflare CDN เดียวกัน (download.i96l6[.]top, Alibaba Cloud)

แต่เว็บไซต์ทางการจริงของ KakaoTalk กลับตกไปอยู่อันดับ 4 เนื่องจาก Edge ใช้ Bing เป็นเครื่องมือค้นหาเริ่มต้น จึงเป็นภัยค่อนข้างใหญ่สำหรับผู้ใช้ที่ไม่ได้เปลี่ยนการตั้งค่า

รายละเอียด

โครงสร้างการหลบเลี่ยงการตรวจจับค่อนข้างซับซ้อน. หน้าเว็บฟิชชิงจะแสดงเฉพาะกับผู้ใช้ที่เข้ามาจากผลการค้นหา ส่วนการเปิด URL โดยตรงหรือการสแกนอัตโนมัติจะได้หน้าเปล่ากลับไป ทำให้บริการวิเคราะห์สาธารณะอย่าง urlscan.io ตรวจจับไม่ได้ และแม้ผู้ใช้จะสงสัยแล้วลองเปิด URL โดยตรงก็จะไม่เห็นอะไร จึงยากที่จะนำไปสู่การรายงาน

ระบุตัวผู้โจมตีได้ค่อนข้างง่าย. ในซอร์สโค้ดมีตัวบ่งชี้จำนวนมากที่ชี้ไปยังต้นทางจากจีน เช่น โค้ดติดตามของ 51.la (เว็บวิเคราะห์จากจีน), og:locale=zh-cn, พาธ /wenzhang/ (文章), การฮาร์ดโค้ดข้อมูลติดต่อ Telegram เป็นต้น การจดทะเบียนโดเมนใช้ Tencent/DNSpod และ CDN วิ่งผ่าน Alibaba Cloud

ทั้ง 3 โดเมนแทบจะเป็นปฏิบัติการเดียวกัน. Registry Domain ID เป็นเลขเรียงกัน, จดทะเบียนแบบเป็นชุดห่างกัน 1 วินาที, อยู่ในซับเน็ต /24 เดียวกัน, ใช้ตรรกะการกรองแบบเดียวกัน และใช้ URL ดาวน์โหลดเดียวกัน มีการใช้โครงสร้างเทมเพลตที่เปลี่ยนเฉพาะเมตาดาต้าเพื่อเพิ่มความหลากหลายด้าน SEO (seo_templates/index/zd/kk_1/2/3/)

มีการใช้ session gating กับเส้นทางดาวน์โหลด. เมื่อเข้า /download จะได้รับคุกกี้ PHPSESSID และเมื่อเรียก /download.php จะถูก 302 รีไดเรกต์ไปยัง CDN ภายนอก (download.i96l6[.]top) หากเข้าถึง download.php โดยตรงโดยไม่มีคุกกี้ จะได้ 500 กลับมา

ไฟล์ที่แจกจ่ายเป็นไฟล์รันได้แบบ PE ที่ใช้นามสกุล .scr (screensaver). เป็นตัวติดตั้ง NSIS v3.07 โดยปลอมเมตาดาต้าเป็น "Kakao Corp. / KakaoTalk Setup" มีการขอสิทธิ์ผู้ดูแลระบบ และภายในบันเดิลทั้ง DLL สำหรับถอดรหัสขณะรันไทม์ (DcryptDll.dll) และคอมโพเนนต์ของ WPS Office (Kingsoft) ติดมาด้วย เป็นวิธีติดตั้งทั้งซอฟต์แวร์ปกติและเพย์โหลดอันตรายในคราวเดียวเพื่อลดความสงสัยของผู้ใช้.