ซอฟต์แวร์
แอปพลิเคชันบนมือถือ
เช็คความเร็วเน็ต (Speedtest)
เช็คไอพี (Check IP)
เช็คเลขพัสดุ
สุ่มออนไลน์
คำนวณสกุลเงินต่างประเทศ
ตลอดไป ! มัลแวร์ Wordpress ตัวใหม่แฝงตัวในรูปแบบ Plug In เพื่อใช้เว็บไซต์โชว์โฆษณาของแฮกเกอร์
Sarun_ss777
เครื่องมือสำหรับสร้างเว็บไซต์ที่เป็นที่นิยมอย่าง Wordpress นั้นถึงแม้ความนิยมจะไม่เคยเสื่อมถอย แต่ก็มักจะมีข่าวเรื่องมัลแวร์ และการถูกแฮกออกมาเป็นประจำสม่ำเสมอ จนผู้ใช้งานหลายรายเริ่มชิน สำหรับครั้งนี้ก็เช่นกัน
จากรายงานโดยเว็บไซต์ Info Security Magazine ได้กล่าวถึงการตรวจพบมัลแวร์ตัวใหม่บน Wordpress ที่แฝงตัวเป็นปลั๊กอินชื่อดังต่าง ๆ ซึ่งมัลแวร์ดังกล่าวนั้นมีชื่อว่า “WP-antymalwary-bot.php” โดยมัลแวร์ดังกล่าวนั้นมีความสามารถทั้งการยิงโค้ดอันตรายต่าง ๆ ลงสู่เว็บไซต์ รวมถึงทำหน้าที่เป็นตัวกลางในการช่วยแสดงโฆษณาของแฮกเกอร์บนเว็บไซต์ ทั้งยังมีความสามารถในการคงตัวบนระบบที่สูงอีกด้วย
- นักวิจัยพบ เว็บไซต์ปลอมกว่า 2,800 แห่ง มุ่งปล่อยมัลแวร์ Amos โจมตีผู้ใช้งาน macOS
- ผู้เชี่ยวชาญเตือน มัลแวร์แบบออฟไลน์ระบาดหนักในเอเชียตะวันออกเฉียงใต้ พบติดเชื้อกว่า 50 ล้านเครื่อง
- ซีอีโอบริษัทความปลอดภัยไซเบอร์ถูกจับ หลังแอบฝังมัลแวร์ลงระบบของโรงพยาบาล
- Kaspersky เตือน แฮกเกอร์ใช้มัลแวร์ดูดขโมยไฟล์จากไดร์ฟ USB ระหว่างเสียบใช้งาน
- ไทยถูกโจมตีด้วยแรนซัมแวร์พุ่งสูงขึ้นกว่า 240% ตลอดปี ค.ศ. 2024 ต้นทางส่วนใหญ่มาจากประเทศมหามิตร
โดยการตรวจพบมัลแวร์ดังกล่าวนั้นเรียกได้ว่าเป็นความบังเอิญของทีมวิจัยจาก Wordfence บริษัทผู้เชี่ยวชาญด้านการพัฒนาปลั๊กอินด้านความปลอดภัยบน Wordpress ซึ่งได้ตรวจพบมัลแวร์ดังกล่าวระหว่างการทำความสะอาดเว็บไซต์เป็นประจำตามตารางเวลา โดยทางทีมวิจัยได้ระบุว่า การปลอมตัวของมัลแวร์ดังกล่าวมีความแนบเนียนที่สูงถึงระดับ Metadata ที่ถ้าไม่ตรวจสอบให้ดีจะแยกตัวปลั๊กอินปลอมของตัวมัลแวร์กับของแท้ไม่ออกเลยทีเดียว
นอกจากความเนียนในการปลอมตัวแล้ว ทางทีมวิจัยยังพบฟังก์ชันสำหรับเปิดประตูหลังของระบบ (Backdoor) มากมายหลายตัวบนมัลแวร์ ทำให้ทางทีมวิจัยระบุว่ามัลแวร์ตัวนี้มีอันตรายที่ค่อนข้างสูงมาก โดยเฉพาะอย่างยิ่งฟังก์ชัน emergency_login_all_admins ที่ช่วยให้แฮกเกอร์สามารถได้รับสิทธิ์การเข้าถึงตัวเว็บไซต์ในระดับผู้ดูแล (Admin หรือ Administrator) ผ่านทางการยิง GET Request และป้อนรหัสผ่านที่ถูกตั้งค่าไว้บนมัลแวร์แล้ว (Harcoded Password) ทำให้แฮกเกอร์สามารถเข้าควบคุมเว็บไซต์ได้อย่างเบ็ดเสร็จ
ไม่เพียงเท่านั้น ตัวมัลแวร์ยังมีฟังก์ชัน execute_admin_command สำหรับรับคำสั่งปฏิบัติการผ่านทาง REST API ซึ่งการรันคำสั่งผ่านทางนี้จะไม่ถูกตรวจสอบสิทธิ์ในการใช้งาน (Permission Check) ทำให้แฮกเกอร์สามารถยิงโค้ด PHP เพื่อแทรกลงไปในส่วนของ Header อีกทั้งยังสามารถล้างแคชในส่วนของปลั๊กอินได้อีกด้วย
และที่ร้ายที่สุดคือ ความสามารถในการคงตัวเองบนระบบ (Persistence) ที่ร้ายมาก โดยทางทีมวิจัยระบุว่า ถ้าผู้ใช้งานตรวจพบแล้วทำการลบมัลแวร์ ตัวมัลแวร์จะทำการติดตั้งตัวเองใหม่อย่างอัตโนมัติ เนื่องจากตัวมัลแวร์ได้ทำการดัดแปลงไฟล์ wp-cron.php ซึ่งเป็นไฟล์ที่จะรันตัวเองทุกครั้งที่มีผู้เข้าเยี่ยมชมเว็บไซต์ ทำให้แม้จะลบ แต่ถ้ามีผู้เข้าเยี่ยมชม มัลแวร์ก็จะติดตั้งตัวเองอย่างอัตโนมัติในทันที จากการสืบสวนเพิ่มเติมแล้ว ทางทีมวิจัยพบว่ามัลแวร์ดังกล่าวนั้นมีการทำงานร่วมกับเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control) ที่ตั้งอยู่ภายในประเทศไซปรัส สำหรับทางแก้ไขนั้น ทางทีมวิจัยนอกจากแนะนำการป้องกันตัวเว็บไซต์โดยเบื้องต้น เช่น การเข้มงวดด้านการตรวจสอบการติดต่อสื่อสารที่ผิดปกติ และใช้ระบบการยืนยันตัวตนหลายทาง (MFA หรือ Multi-Factors Authentication) แล้ว ก็ยังไม่ได้มีการแนะนำว่าจะจัดการกับมัลแวร์ดังกล่าวโดยตรงได้อย่างไรในขณะนี้
ที่มา : www.infosecurity-magazine.com
คำสำคัญ »
|
|
ข่าวไอทีที่เกี่ยวข้อง
แสดงความคิดเห็น
ข่าวไอที ยอดนิยม
ข่าวไอทีแนะนำ
ข่าวประชาสัมพันธ์
Thaiware.com is owned and operated by Thaiware Communication Co., Ltd.