สายเถื่อนอ่วม ! แฮกเกอร์ทำเว็บแจกแคร็กปลอมกว่า 300 เว็บไซต์ โหลดแล้วติดมัลแวร์ขโมยข้อมูลแน่นอน

การใช้งานซอฟต์แวร์เถื่อนนั้นนับเป็นสิ่งที่คู่กับสังคมผู้ใช้งานคอมพิวเตอร์มาเป็นเวลานานเนื่องมาจากซอฟต์แวร์ลิขสิทธิ์มักจะมีราคาที่สูง ถึงแม้วิธีการดังกล่าวนั้นจะไม่ควรกระทำก็ตามเพราะละเมิดกฎหมาย และอาจนำพาตัวเองไปสู่ความเสี่ยง เช่นดังข่าวในวันนี้

จากรายงานโดยเว็บไซต์ Cyber Security News ได้กล่าวถึงแคมเปญการแพร่กระจายมัลแวร์ประเภทขโมยข้อมูล หรือ Infostealer โดยแฮกเกอร์ชาวปากีสถานด้วยวิธีการที่เรียกได้ว่าเรียบง่าย แต่ผู้คนมักคาดกันไม่ถึง หรือประมาทกับวิธีการนี้ได้ง่าย นั่นคือ การจัดตั้งเว็บไซต์สำหรับแจกแคร็ก (Crack หรือ เครื่องมือสำหรับฝ่าระบบป้องกันซึ่งส่งผลให้สามารถใช้งานซอฟต์แวร์เถื่อนได้) ซึ่งนอกจากแคร็กแล้ว เว็บไซต์ของแฮกเกอร์ยังทำการอวดอ้างว่ามีซอฟต์แวร์เถื่อนแจกจำนวนมาก และแน่นอน ทุกตัวมีมัลแวร์แฝงอยู่ทั้งสิ้น และที่ร้ายกาจไปกว่านั้นคือ แฮกเกอร์ไม่ได้จัดทำแค่เว็บไซต์เดียว หรือไม่กี่สิบเว็บไซต์ แต่ได้มีการจัดตั้งขึ้นมามากกว่า 300 เว็บไซต์ แถมเปิดทำการมาแล้วตั้งแต่ปี ค.ศ. 2021 (พ.ศ. 2564) อีกต่างหาก

โดยเว็บไซต์ที่ถูกจัดตั้งขึ้นเหล่านี้จะปรากฏบน Search Engine เมื่อเหยื่อทำการค้นหาซอฟต์แวร์เถื่อน ซึ่งถ้าเหยื่อเข้าสู่เว็บไซต์แล้วหลงเชื่อดาวน์โหลดลงมา เครื่องก็จะติดมัลแวร์ในทันที เรียกได้ว่าเป็นวิธีการที่ง่ายจนแทบไม่ต้องอธิบายอะไรมาก และเพื่อให้ผู้ใช้งานสามารถเข้าถึงเว็บไซต์ได้ง่าย ทางแฮกเกอร์ยังได้ทำเทคนิค SEO (Search Engine Optimization) และ การยิงโฆษณาผ่าน Google Ads เพื่อให้ผู้ใช้งานสามารถพบเว็บไซต์ได้ทันทีที่ใส่ชุดคำ (Keywords) ค้นหาที่กำหนดไว้อีกด้วย

ถึงแม้วิธีการข้างต้นจะดูง่าย แต่ตัวมัลแวร์กลับส่งผลอันตรายต่อผู้ใช้งานได้ เพราะมัลแวร์ดังกล่าวมีความสามารถในการขโมยข้อมูลที่หลากหลาย ตั้งแต่ ข้อมูลบนเว็บเบราว์เซอร์, กระเป๋าเงินคริปโตเคอร์เรนซี และข้อมูลอ่อนไหวอื่น ๆ เช่น ข้อมูลทางการเงิน และรหัสผ่านต่าง ๆ ซึ่งข้อมูลทุกอย่างจะถูกส่งกลับไปยังเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control) เพื่อให้แฮกเกอร์นำไปใช้งานต่อไป

การที่สามารถสันนิษฐานได้ว่าผู้กระทำอาจมาจากประเทศปากีสถานนั้น เนื่องมาจากการสืบค้นย้อนกลับโดยทีมวิจัยจาก Intrinsec บริษัทผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์ พบว่าเหตุการณ์แฮกเข้าสู่ระบบหลายเหตุการณ์นั้นมีความเชื่อมโยงกับโดเมนเดียวกัน เช่น kmspico[.]io รวมไปถึงมีการใช้งานโครงสร้างพื้นฐาน (Infrastructure) ที่เกี่ยวข้องกับโดเมนดังกล่าว โดยเมื่อสืบย้อนไปอีกขั้นก็พบว่า มีความเชื่อมโยงกับเครือข่ายของเหล่าฟรีแลนซ์นักออกแบบ และสร้างเว็บไซต์ชาวปากีสถานจำนวนมาก ซึ่งทางทีมวิจัยคาดว่า คนในกลุ่มนี้นั้นเพียงแค่ถูกว่าจ้างจากแฮกเกอร์มาอีกทอดหนึ่งเฉย ๆ โดยไม่ทราบว่าไฟล์ที่แฮกเกอร์ปล่อย หรือจุดประสงค์ของตัวเว็บไซต์นั้นคืออะไรกันแน่ ? ซึ่งในการจ้างงานนั้น ทางทีมวิจัยพบว่า แรงจูงใจในการแพร่กระจายมัลแวร์นั้นมาจากระบบการจ่ายค่าคอมมิชชันของผู้พัฒนามัลแวร์ ที่คิดตามจำนวนครั้งที่ติดตั้งเปื้อนมัลแวร์เหล่านี้ลงเครื่อง (Pay-per-Install) กล่าวคือยิ่งมีผู้ติดตั้งมาก แฮกเกอร์ที่เข้าร่วมในเครือข่ายที่นำไปใช้งานต่อ (Affiliate) ยิ่งจะได้ค่าตอบแทนมากขึ้นเท่านั้น

ภาพจาก: https://cybersecuritynews.com/pakistani-actors-built-300-cracking-websites/

ในภาคของเทคนิคการทำงานของแคมเปญนี้ ตัวแคมเปญมีการใช้โครงสร้าง DNS (Domain Name System หรือ ระบบแปลงชื่อโดเมนที่มนุษย์อ่านได้เป็นหมายเลขไอพี) แบบรวมศูนย์ ซึ่งโดเมนส่วนมากบนแคมเปญนั้นสามารถสืบกลับไปได้ที่เนมเซิร์ฟเวอร์ (Nameserver) สำหรับจัดการในการเชื่อมต่อเว็บไซต์เข้ากับบริการโฮสต์ โดย Nameserver นั้นที่มีชื่อว่า ns1.filescrack[.]com ระบบการตั้งค่าของเซิร์ฟเวอร์ตัวนี้เปิดช่องให้ผู้ใช้งานสามารถจัดการเว็บไซต์ต่าง ๆ แบบรวมศูนย์ ในขณะที่สามารถกระจายความเสี่ยงไปยังชื่อโดเมนที่แตกต่างกันจำนวนมากได้ ในส่วนของบริการโฮสต์นั้นทางแหล่งข่าวไม่ได้ระบุว่ามีการใช้มากกว่า 1 แห่งหรือไม่ ? เพียงแต่ระบุว่าทางแฮกเกอร์ใช้บริการของ 24xservice เป็นหลัก ซึ่งก็เป็นบริการภายในประเทศปากีสถานอีกเช่นเดียวกัน ในส่วนของการจดทะเบียนชื่อโดเมนนั้น ทางทีมตรวจสอบพบว่ามีการใช้อีเมลของบุคคลที่มีตัวตนจริง โดยอีเมลทั้งหมดนั้นเป็นของกลุ่มนักพัฒนาเว็บไซต์ฟรีแลนซ์ตามที่กล่าวมาข้างต้นทั้งสิ้น แสดงให้เห็นถึงระบบการป้องกันที่อ่อนแอของตัวเซิร์ฟเวอร์ที่นำมาสู่การตรวจพบตัวตนที่แท้จริงของผู้ที่เกี่ยวข้องได้

เห็นดังนี้แล้วผู้อ่านอาจจะได้ทราบถึงอันตรายของการใช้งานซอฟต์แวร์ละเมิดลิขสิทธิ์ไม่มากก็น้อย ซึ่งการป้องกันตัวจากการหลอกลวงของแฮกเกอร์ในรูปแบบนี้ที่ดีที่สุดคือการใช้งานซอฟต์แวร์ที่ถูกลิขสิทธิ์ ซึ่งนอกจากจะปลอดภัยแล้ว ยังถูกกฎหมาย และมีอัปเดตให้อย่างต่อเนื่องอีกด้วย

➤ Website : https://www.thaiware.com
➤ Facebook : https://www.facebook.com/thaiware
➤ Twitter : https://www.twitter.com/thaiware
➤ YouTube : https://www.youtube.com/thaiwaretv