ផ្លេតហ្វមលួចបន្លំថ្មី (phishing-as-a-service (Phaass or Paas)) មានឈ្មោះថា Greatness ត្រូវប្រើក្នុងសកម្មភាពឧក្រឹដ្ឋកម្មសាយប័រ សម្រាប់វាយប្រហារលើអតិថិជនសេវាក្លោដ Microsoft 365 តាំងពីពាក់កណ្តាលឆ្នាំ២០២២។
អ្នកស្រាវជ្រាវនៅក្រុមហ៊ុនសន្តិសុខ Cisco Talos ថ្លែងថា បច្ចុប្បន្ននេះ ផ្លេតហ្វមលួចបន្លំ Greatness ផ្តោតតែលើគេហទំព័របញ្ឆោត Microsoft 365 ដែលមានភ្ជាប់ជាមួយ attachment និងលីង ដែលធ្វើឱ្យជនរងគ្រោះមិនដឹងថាជាគេហទំព័រ login ក្លែងក្លាយនោះទេ។ វាមានអាសយដ្ឋានអុីម៉ែលជនរងគ្រោះដែលបំពេញទុកមុន និងបង្ហាញឡូហ្គូ និងរូបភាព background ក្រុមហ៊ុន ដែលទាញចេញពីគេហទំព័រ Microsoft 365 login ពិតរបស់ក្រុមហ៊ុន។ ប្រតិបត្តិការនេះពាក់ព័ន្ធនឹងផ្លេតហ្វមលួចបន្លំ Greatness ដែលរៀបចំឡើងសម្រាប់សេវាសុខាភិបាល និងអង្គភាពបច្ចេកវិទ្យានៅអាមេរិក អង់គ្លេស អូស្រ្តាលី អាព្រិកខាងត្បូង និងកាណាដា ហើយត្រូវគេរកឃើញសកម្មភាពក្លែងបន្លំនេះកាលពីចុងឆ្នាំ២០២២ និងខែមីនា ឆ្នាំ២០២៣ នេះ។
ឧបករណ៍ក្លែងបន្លំផ្លេតហ្វម Greatness ផ្តល់ឱ្យហេគឃ័រនូវមធ្យោបាយដ៏មានប្រសិទ្ធភាព ដែលធ្វើឱ្យវាអាចផ្តល់នូវគេហទំព័រ login ដ៏ជឿជាក់មួយ រួមជាមួយនឹងសេវាអនឡាញផ្សេងៗ និងអាចឆ្លងកាត់ការការពារនូវការផ្ទៀងផ្ទាត់២កត្តា (2FA)។ ជាពិសេស គេហទំព័រលួចបន្លំដែលមើលទៅដូចពិតនេះមានតួនាទីជា reverse proxy សម្រាប់ប្រមូលអត្តសញ្ញាណនិងលេខសម្ងាត់ (time-based one-time passwords (TOTPs)) ដែលបញ្ចូលដោយជនរងគ្រោះថែមទៀត។
ខ្សែច្រវាក់នៃការវាយប្រហារចាប់ផ្តើមជាមួយនឹងអុីម៉ែលបញ្ឆោតមានផ្ទុក HTML ដែលនៅពេលបើក, ប្រតិបត្តិការកូដ JavaScript ដ៏ច្របូកច្របល់ និងនាំជនរងគ្រោះទៅកាន់គេហទំព័រដែលពួកគេបំពេញអាសយដ្ឋានរួចទុកជាមុននិងចាប់យកលេខសម្ងាត់របស់ពួកគេ និង MFA code ។ អត្តសញ្ញាណដែលបញ្ចូល និងចាប់យកត្រូវបញ្ជូនទៅ Telegram channel សម្ព័ន្ធសម្រាប់អ្នកដែលគ្មានការអនុញ្ញាតអាចដំណើរការ។ បន្ទាប់មក ឧបករណ៍ AiTM phishing ក៏មកជាមួយនូវ panel គ្រប់គ្រងដែល មានចងសម្ព័ន្ធទៅកំណត់រចនាសម្ព័ន្ធ Telegram bot, តាមដានព័ត៌មានដែលលួច និងបង្កើត attachment ឬលីងបោកបញ្ឆោត។ ជាងនេះទៀត សម្ព័ន្ធនីមួយៗមាន API key ដែលមានសុពលភាពសម្រាប់ load គេហទំព័រលួចបន្លំ។ API key ក៏ការពារអាសយដ្ឋាន IP ដែលមិនចង់ឃើញគេហទំព័រលួចបន្លំ និងសម្របសម្រួលការទាក់ទង នៅពីក្រោយគេហទំព័រ Microsoft 365 login ដែរ។
អ្នកស្រាវជ្រាវបន្ថែមថា ការធ្វើការរួមគ្នារវាង phishing kit និង API ដំណើរការជា “ឈ្មួញកណ្តាល” អាចស្នើសុំព័ត៌មានពីជនរងគ្រោះដែល API នឹង submit ទៅកាន់គេហទំព័រស្របច្បាប់។ រឿងនេះធ្វើឱ្យសម្ព័ន្ធ PaaS អាចលួចអត្តសញ្ញាណនិងលេខសម្ងាត់ ជាមួយនឹង session cookies ដែលផ្ទៀងផ្ទាត់ ប្រសិនបើជនរងគ្រោះប្រើ MFA នោះ។ ឥឡូវនេះ ក្រុមហ៊ុន Microsoft ចាប់ផ្តើមអនុវត្ត លេខដែលត្រូវគ្នា (number matching) នៅក្នុងការផ្ទៀងផ្ទាត់ (Authenticator) ក្រុមហ៊ុន Microsoft ដើម្បីជម្រុញឱ្យមានការជូនដំណឹងកាលពីដើមខែឧសភា ឆ្នាំ២០២៣ ក៏ដូចជាជម្រុញការការពារ 2FA និងទប់ទល់ការរីករាលដាលនៃការវាយប្រហារបន្ទាន់៕
