ดาวน์โหลดโปรแกรมฟรี
       
   สมัครสมาชิก   เข้าสู่ระบบ
ข่าวไอที
 

พบเว็บไซต์มากกว่า 3,500 เว็บ ถูกแอบฝังเพื่อแพร่กระจายมัลแวร์ขุดเหรียญคริปโต Monero

พบเว็บไซต์มากกว่า 3,500 เว็บ ถูกแอบฝังเพื่อแพร่กระจายมัลแวร์ขุดเหรียญคริปโต Monero
ภาพจาก : https://www.pinterest.com/pin/689261917972915811/
เมื่อ :
|  ผู้เข้าชม : 657
เขียนโดย :
0 %E0%B8%9E%E0%B8%9A%E0%B9%80%E0%B8%A7%E0%B9%87%E0%B8%9A%E0%B9%84%E0%B8%8B%E0%B8%95%E0%B9%8C%E0%B8%A1%E0%B8%B2%E0%B8%81%E0%B8%81%E0%B8%A7%E0%B9%88%E0%B8%B2+3%2C500+%E0%B9%80%E0%B8%A7%E0%B9%87%E0%B8%9A+%E0%B8%96%E0%B8%B9%E0%B8%81%E0%B9%81%E0%B8%AD%E0%B8%9A%E0%B8%9D%E0%B8%B1%E0%B8%87%E0%B9%80%E0%B8%9E%E0%B8%B7%E0%B9%88%E0%B8%AD%E0%B9%81%E0%B8%9E%E0%B8%A3%E0%B9%88%E0%B8%81%E0%B8%A3%E0%B8%B0%E0%B8%88%E0%B8%B2%E0%B8%A2%E0%B8%A1%E0%B8%B1%E0%B8%A5%E0%B9%81%E0%B8%A7%E0%B8%A3%E0%B9%8C%E0%B8%82%E0%B8%B8%E0%B8%94%E0%B9%80%E0%B8%AB%E0%B8%A3%E0%B8%B5%E0%B8%A2%E0%B8%8D%E0%B8%84%E0%B8%A3%E0%B8%B4%E0%B8%9B%E0%B9%82%E0%B8%95+Monero
A- A+
แชร์หน้าเว็บนี้ :

การแพร่กระจายมัลแวร์ผ่านทางเว็บไซต์นั้น ก็ยังนับได้ว่าเป็นที่นิยมอย่างสูงเนื่องจากเป็นแพลตฟอร์มที่แฮกเกอร์มีอิสระในการปลอมแปลงเพื่อหลอกลวงเหยื่อ และนี่ก็เป็นอีกข่าวหนึ่งที่เหมือนคำเตือนว่า การเข้าแต่ละเว็บไซต์นั้นผู้ใช้งานจะต้องมีความระมัดระวังเป็นอย่างยิ่ง

จากรายงานโดยเว็บไซต์ The Hacker News ได้กล่าวถึงการตรวจพบแคมเปญที่แฮกเกอร์จะทำการแฮกเว็บไซต์เพื่อใช้เป็นฐานในการยิงมัลแวร์สำหรับการขุดเหรียญคริปโตเคอร์เรนซี หรือ Crypto Miner ลงเว็บเบราว์เซอร์ของเหยื่อด้วยการใช้ JavaScript เพื่อขุดเหรียญ Monero ซึ่งเป็นเหรียญคริปโตเคอร์เรนซีที่ขึ้นชื่อเรื่องการรักษาความเป็นส่วนตัวของผู้ใช้งาน ทำให้ติดตามย้อนกลับไปยังแฮกเกอร์ได้ยาก โดยมัลแวร์ดังกล่าวนั้นมีชื่อว่า CoinHive ซึ่งรายงานจากทีมวิจัยแห่งบริษัท c/side บริษัทผู้เชี่ยวชาญด้านการพัฒนาเครื่องมือต้านภัยไซเบอร์ ได้ตรวจพบว่ามีเว็บไซต์มากกว่า 3,500 เว็บไซต์ตกเป็นเหยื่อของแคมเปญนี้เป็นที่เรียบร้อยแล้ว

บทความเกี่ยวกับ Automattic อื่นๆ

ทางทีมวิจัยได้ระบุว่า ถึงแม้ตัวบริการมัลแวร์ดังกล่าวจะถูกปิดตัวไปตั้งแต่ปี ค.ศ. 2019 (พ.ศ. 2562) เป็นที่เรียบร้อยเนื่องมาจากการที่ผู้พัฒนาเว็บเบราว์เซอร์ต่าง ๆ ได้ทำการปิดกั้นการทำงานของส่วนเสริมสำหรับขุดเหรียญคริปโตเคอร์เรนซี แต่การกลับมาครั้งล่าสุดนี้ ทางทีมวิจัยพบกับพัฒนาการใหม่ที่มีการเขียน JavaScript ในรูปแบบหลอกลวงระบบการตรวจจับ (Obfuscation) ขณะทีมีการฝังตัวขุดเหรียญคริปโตไว้ในตัวโค้ด ซึ่งมัลแวร์ขุดคริปโตนี้จะทำการประเมินพลังเครื่องของเหยื่อ แล้วจึงทำการใช้ทรัพยากรของเครื่องเหยื่อเพื่อขุดเหรียญคริปโต ด้วยการอาศัยประโยชน์จากระบบ Web Workers ซึ่งเป็นเครื่องมือที่ช่วยให้ JavaScript สามารถแอบทำงานอยู่หลังฉาก (Background) ได้ นอกจากนั้นยังมีการใช้ WebSockets ในการสื่อสารเพื่อรับคำสั่งจากเซิร์ฟเวอร์อีกด้วย โดยรูปแบบการทำงานของมัลแวร์ตัวนี้จะปรับการทำงานตามศักยภาพของเครื่องเพื่อไม่ให้เกิดภาวะเครื่องอืดจนถูกจับได้

นอกจากในส่วนการทำงานของมัลแวร์แล้ว จากการตรวจสอบโค้ด JavaScript ที่ถูกฝังบนเว็บไซต์ที่ถูกแฮกทั้ง 3,500 แห่งแล้ว พบว่าตัวโดเมนที่โฮสต์ JavaScript ดังกล่าวไว้นั้นมีความเชื่อมโยงกับมัลแวร์ขโมยรหัสบัตรเครดิต (Credit Card Skimmer) บนเว็บไซต์ที่มีชื่อว่า Magecart นำไปสู่ข้อสันนิษฐานว่าทั้งหมดนี้เป็นระบบการกระจายความเสี่ยงและสร้างรายได้สองทางของทางกลุ่มแฮกเกอร์ที่อยู่เบื้องหลังแคมเปญดังกล่าว โดยมัลแวร์ตัวหลังนี้แฮกเกอร์จะมุ่งเน้นไปยังการฝังลงเว็บไซต์ด้านอีคอมเมิร์ซ (E-Commerce) ที่ให้บริการในภูมิภาคเอเชียตะวันออก ที่มีการใช้เครื่องมือจัดการเนื้อหาบนเว็บไซต์ (Content Management System หรือ CMS) ที่มีชื่อว่า OpenCart ซึ่งการทำงานนั้นคือ ตัวมัลแวร์จะทำการยิง (Injection) แบบฟอร์มชำระเงินปลอม เพื่อเก็บข้อมูลด้านการเงินต่าง ๆ เช่น ข้อมูลธนาคาร และ เลขบัตรเครดิต เพื่อส่งกลับไปยังเซิร์ฟเวอร์ของแฮกเกอร์

ทางแหล่งข่าวยังได้มีการกล่าวถึงแคมเปญการโจมตีเพื่อใช้เว็บไซต์เป็นตัวกลางในการเข้าโจมตีผู้เยี่ยมชมที่เกิดขึ้นในช่วงไม่กี่สัปดาห์ที่ผ่านมาอีกเป็นจำนวนมาก เช่น

  • การฝัง JavaScript เพื่อใช้งาน Callback Parameter ที่เกี่ยวข้องกับระบบยืนยันตัวตน Google OAuth (accounts.google[.]com/o/oauth2/revoke) เพื่อเปลี่ยนทิศทางการเชื่อมต่อไปยัง JavaScript ที่ถูกเขียนในรูปแบบตีรวนระบบ (Obfuscation) ซึ่งทำหน้าที่ในการสร้างการเชื่อมต่อในรูปแบบ Web Sockets ที่จะส่งผู้เยี่ยมชมไปยังโดเมนของแฮกเกอร์อีกที
  • การยิงสคริปท์ผ่านทาง Google Tag Manager (GTM) เข้าเว็บไซต์ของเหยื่อโดยตรงเพื่อปรับเปลี่ยนบางส่วนบนฐานข้อมูล Wordpress (เช่น ตาราง wp_options และ wp_posts เป็นต้น) เพื่อใช้ในการดึง JavaScript จากเซิร์ฟเวอร์ของแฮกเกอร์ลงมาทำหน้าที่ส่งผู้เยี่ยมชมไปยังเว็บไซต์หลอกลวงที่แฮกเกอร์เตรียมไว้ ซึ่งมีมากถึง 200 เว็บไซต์
  • เข้าดัดแปลงไฟล์ wp-settings.php บนเว็บไซต์ที่ถูกสร้างขึ้นบน Wordpress เพื่อใช้แทรกโค้ด PHP ที่แฮกเกอร์ซุกซ่อนไว้บนไฟล์ Zip ที่ทำหน้าที่ในการเชื่อมต่อกับเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control) เพื่อใช้ในการยิงคอนเทนต์สแปมในการทำ SEO (Search Engine Optimization) สายมืดในการดันลำดับการค้นหาเว็บไซต์ให้ขึ้นหน้า 1 ของ Search Engine เพื่อค้นหาชุดคำ (Keyword) ที่ถูกกำหนดไว้
  • การยิงโค้ดลงไปในส่วน footer ของสคริปท์ PHP ที่ทำหน้าที่เป็นธีมของเว็บไซต์ Wordpress เพื่อใช้ในการเปลี่ยนจุดหมายการเยี่ยมชมไปยังเว็บไซต์หลอกลวงที่แฮกเกอร์เตรียมไว้
  • การใช้ปลั๊กอิน Wordpress ปลอมที่ตั้งชื่อตามโดเมนที่แฮกเกอร์ฝังมัลแวร์ไว้เพื่อป้องกันการถูกตรวจจับโดยระบบป้องกัน และจะทำงานเมื่อบอทสำรวจเว็บไซต์ (Crawler) ของ Search Engine เข้ามาเยี่ยมชมเว็บไซต์ เพื่อเป็นการล่อลวงให้ตัว Search Engine เพิ่มคอนเทนต์ Spam ลงบนผลการค้นหา
  • การใช้ปลั๊กอิน Gravity Forms ฉบับฝังมัลแวร์เพื่อเพิ่มบัญชีผู้ใช้งานระดับผู้ดูแลระบบ (Administrator หรือ Admin) ลงเว็บไซต์ เพื่อให้แฮกเกอร์เข้าควบคุมเว็บไซต์ได้อย่างสมบูรณ์

ที่มา : thehackernews.com

0 %E0%B8%9E%E0%B8%9A%E0%B9%80%E0%B8%A7%E0%B9%87%E0%B8%9A%E0%B9%84%E0%B8%8B%E0%B8%95%E0%B9%8C%E0%B8%A1%E0%B8%B2%E0%B8%81%E0%B8%81%E0%B8%A7%E0%B9%88%E0%B8%B2+3%2C500+%E0%B9%80%E0%B8%A7%E0%B9%87%E0%B8%9A+%E0%B8%96%E0%B8%B9%E0%B8%81%E0%B9%81%E0%B8%AD%E0%B8%9A%E0%B8%9D%E0%B8%B1%E0%B8%87%E0%B9%80%E0%B8%9E%E0%B8%B7%E0%B9%88%E0%B8%AD%E0%B9%81%E0%B8%9E%E0%B8%A3%E0%B9%88%E0%B8%81%E0%B8%A3%E0%B8%B0%E0%B8%88%E0%B8%B2%E0%B8%A2%E0%B8%A1%E0%B8%B1%E0%B8%A5%E0%B9%81%E0%B8%A7%E0%B8%A3%E0%B9%8C%E0%B8%82%E0%B8%B8%E0%B8%94%E0%B9%80%E0%B8%AB%E0%B8%A3%E0%B8%B5%E0%B8%A2%E0%B8%8D%E0%B8%84%E0%B8%A3%E0%B8%B4%E0%B8%9B%E0%B9%82%E0%B8%95+Monero
แชร์หน้าเว็บนี้ :
Keyword คำสำคัญ »
เขียนโดย
นักเขียน : Editor    นักเขียน
 
 
 

ข่าวไอทีที่เกี่ยวข้อง

 


 

แสดงความคิดเห็น