ซอฟต์แวร์
แอปพลิเคชันบนมือถือ
เช็คความเร็วเน็ต (Speedtest)
เช็คไอพี (Check IP)
เช็คเลขพัสดุ
สุ่มออนไลน์ (Online Random)
มินิเกม
นักช้อประวัง ! ตรวจพบมัลแวร์ขโมยบัตรเครดิตตัวใหม่ ฝังตัวตามเว็บไซต์ที่สร้างบน Wordpress
Sarun_ss777
การขโมยบัตรเครดิตนั้น เรียกได้ว่ากำลังเป็นข่าวเกรียวกราวในไทยจากการที่มีเหตุการณ์เกิดขึ้นบ่อยครั้ง และช่องทางขโมยนั้นเริ่มมาจากหลายช่องทางอย่างชัดเจน สำหรับข่าวนี้ผู้ที่ชื่นชอบในการซื้อของออนไลน์อาจต้องเพิ่มความระมัดระวังตัวขึ้นไปอีกระดับ
จากรายงานโดยเว็บไซต์ Cyber Security News ได้รายงานถึงการตรวจพบการจารกรรมบัตรเครดิตครั้งใหม่ ซึ่งมุ่งเน้นไปที่การใช้บัตรเครดิตในการซื้อของจากร้านค้าออนไลน์ที่สร้างขึ้นบน Wordpress ด้วยการยิงมัลแวร์สำหรับการอ่านข้อมูลบัตรเครดิตที่เหยื่อกรอกลงไป (Credit Card Skimmer) ไปฝังอยู่บนหน้า Checkout ผ่านการยิงฐานข้อมูล (Database Injection) เพื่อแทรกโค้ดในส่วนตาราง wp_options โดยเป็นการเข้าไปแทนที่ไฟล์ธีม หรือปลั๊กอินอื่น ๆ
- พบช่องโหว่บน WP Backup & Migration Plugin กระทบความปลอดภัยของเว็บไซต์กว่า 3 ล้านแห่ง
- พบแฮกเกอร์ใช้ Plugin ปลอม หลอกปล่อยมัลแวร์ โจมตีเว็บไซต์ที่สร้างบน Wordpress พบเหยื่อแล้วมากกว่า 6,000 เว็บ
- พบช่องโหว่ร้ายแรงบน Theme และ Plugin ใน Wordpress กระทบเว็บไซต์นับพันแห่ง
- Plugin WPML บน Wordpress มีช่องโหว่ RCE กระทบเว็บไซต์กว่าล้านเว็บ
- พบช่องโหว่บน Plugin เพื่อการบริจาคบน Wordpressr ส่งผลกระทบกว่าแสนเว็บไซต์
โดยการค้นพบดังกล่าวนั้นเกิดขึ้นหลังจากที่นักวิจัยจาก Sucuri ซึ่งเป็นบริษัทผู้เชี่ยวชาญด้านการจัดการความปลอดภัยบนเว็บไซต์ ได้ทำการตรวจสอบเว็บไซต์ที่สงสัยว่าจะถูกแฮกผ่านทางแผงควบคุมสำหรับผู้ดูแล โดยทางทีมได้เข้าไปตรวจในส่วนของ Widget ผ่านทาง (wp-admin > widgets) และได้พบว่า JavaScript ของตัวมัลแวร์ดังกล่าวนั้นได้ขัดขวางการทำงานจอง Widget บางตัวอยู่ ซึ่งในส่วนต้นสคริปท์ของ JavaScript ตัวดังกล่าวนั้นจะมีการระบุส่วนของ Url เป้าหมายที่มีคำว่า “Checkout” และตัดส่วนของ “Cart” ออกไป โดยแสดงให้เห็นว่ามัลแวร์ตัวดังกล่าวจะเริ่มเก็บข้อมูลในส่วนของการกรอกรายละเอียดเพื่อชำระเงินค่าสินค้าในระหว่างการทำการ Checkout
ภาพจาก : https://cybersecuritynews.com/wordpress-credit-card-skimmer/
ไม่เพียงเท่านั้น ทางทีมวิจัยยังได้เปิดเผยถึงความร้ายกาจของมัลแวร์เก็บข้อมูลดังกล่าวอีกว่า “ถ้าบนหน้าเพจเป้าหมายนั้นไม่มีแบบฟอร์มให้กรอก ตัวสคริปท์จะทำการสร้างฟอร์มปลอมขึ้นมาเพื่อเก็บข้อมูลบัตรเครดิตอย่างละเอียด แต่ถ้ามีแบบฟอร์มอย่างเป็นทางการ ตัวสคริปท์ก็จะทำการอ่านและดูดข้อมูลจากแบบฟอร์มนั้นเพื่อส่งกลับไปให้แฮกเกอร์” นอกจากนั้นยังมีการเปิดเผยข้อมูลทางเทคนิคอีกว่า ข้อมูลที่ตัวสคริปท์เก็บได้จะถูกเข้ารหัสด้วยเทคโนโลยี AES-CBC ในระดับ Base64 ซึ่งอาจทำให้เจ้าของเว็บไซต์ที่ตกเป็นเหยื่อไม่ทราบว่าข้อมูลที่ถูกขโมยนั้นคืออะไร ทั้งยังทำให้การวิเคราะห์ข้อมูลโดยผู้เชี่ยวชาญนั้นทำได้ยากขึ้นไปอีกด้วย โดยข้อมูลที่ถูกเข้ารหัสเหล่านี้จะถูกส่งต่อไปยังเซิร์ฟเวอร์ควบคุม (Command and Control หรือ C2) โดยที่ทางทีมวิจัยได้เปิดเผยโดยเบื้องต้นนั้น เซิร์ฟเวอร์ C2 จะถูกตั้งชื่อว่า valhafather[.]xyz และ fqbe23[.]xyz
นอกจากนั้นทางแหล่งข่าวยังได้แนะนำวิธีการลบสคริปท์มัลแวร์ออกสำหรับเจ้าของเว็บไซต์ที่ตกเป็นเหยื่อ โดยขั้นตอนการนำเอาสคริปท์ออกนั้นมีดังนี้
- ล็อกอินเข้าในส่วนควบคุมเว็บไซต์สำหรับผู้ดูแล
- กดเข้าไปยังส่วนของ Widgets ผ่านทาง wp-admin > Appearance > Widgets
- ตรวจสอบหาสคริปท์ที่ผิดปกติบน Custom HTML แล้วทำการลบทิ้ง
ทางแหล่งข่าวยังได้แนะนำให้ใช้ Firewall สำหรับเว็บไซต์ (Web Application Firewall) และการนำเอาการยืนยันตัวตนแบบ 2 ทาง (2 Factors Authentication) เข้ามาใช้งานกับตัวเว็บไซต์ เพื่อสกัดกั้นการยิงสคริปท์ และการเข้าสู่ส่วนของผู้ดูแลเว็บไซต์ให้สามารถทำได้ยากขึ้นอีกด้วย
ที่มา : cybersecuritynews.com
คำสำคัญ »
|
|
ข่าวไอทีที่เกี่ยวข้อง
แสดงความคิดเห็น
ข่าวไอที ยอดนิยม
ข่าวไอทีแนะนำ
ข่าวประชาสัมพันธ์
Thaiware.com is owned and operated by Thaiware Communication Co., Ltd.