พบเว็บไซต์มากกว่า 3,500 เว็บ ถูกแอบฝังเพื่อแพร่กระจายมัลแวร์ขุดเหรียญคริปโต Monero

การแพร่กระจายมัลแวร์ผ่านทางเว็บไซต์นั้น ก็ยังนับได้ว่าเป็นที่นิยมอย่างสูงเนื่องจากเป็นแพลตฟอร์มที่แฮกเกอร์มีอิสระในการปลอมแปลงเพื่อหลอกลวงเหยื่อ และนี่ก็เป็นอีกข่าวหนึ่งที่เหมือนคำเตือนว่า การเข้าแต่ละเว็บไซต์นั้นผู้ใช้งานจะต้องมีความระมัดระวังเป็นอย่างยิ่ง

จากรายงานโดยเว็บไซต์ The Hacker News ได้กล่าวถึงการตรวจพบแคมเปญที่แฮกเกอร์จะทำการแฮกเว็บไซต์เพื่อใช้เป็นฐานในการยิงมัลแวร์สำหรับการขุดเหรียญคริปโตเคอร์เรนซี หรือ Crypto Miner ลงเว็บเบราว์เซอร์ของเหยื่อด้วยการใช้ JavaScript เพื่อขุดเหรียญ Monero ซึ่งเป็นเหรียญคริปโตเคอร์เรนซีที่ขึ้นชื่อเรื่องการรักษาความเป็นส่วนตัวของผู้ใช้งาน ทำให้ติดตามย้อนกลับไปยังแฮกเกอร์ได้ยาก โดยมัลแวร์ดังกล่าวนั้นมีชื่อว่า CoinHive ซึ่งรายงานจากทีมวิจัยแห่งบริษัท c/side บริษัทผู้เชี่ยวชาญด้านการพัฒนาเครื่องมือต้านภัยไซเบอร์ ได้ตรวจพบว่ามีเว็บไซต์มากกว่า 3,500 เว็บไซต์ตกเป็นเหยื่อของแคมเปญนี้เป็นที่เรียบร้อยแล้ว

ทางทีมวิจัยได้ระบุว่า ถึงแม้ตัวบริการมัลแวร์ดังกล่าวจะถูกปิดตัวไปตั้งแต่ปี ค.ศ. 2019 (พ.ศ. 2562) เป็นที่เรียบร้อยเนื่องมาจากการที่ผู้พัฒนาเว็บเบราว์เซอร์ต่าง ๆ ได้ทำการปิดกั้นการทำงานของส่วนเสริมสำหรับขุดเหรียญคริปโตเคอร์เรนซี แต่การกลับมาครั้งล่าสุดนี้ ทางทีมวิจัยพบกับพัฒนาการใหม่ที่มีการเขียน JavaScript ในรูปแบบหลอกลวงระบบการตรวจจับ (Obfuscation) ขณะทีมีการฝังตัวขุดเหรียญคริปโตไว้ในตัวโค้ด ซึ่งมัลแวร์ขุดคริปโตนี้จะทำการประเมินพลังเครื่องของเหยื่อ แล้วจึงทำการใช้ทรัพยากรของเครื่องเหยื่อเพื่อขุดเหรียญคริปโต ด้วยการอาศัยประโยชน์จากระบบ Web Workers ซึ่งเป็นเครื่องมือที่ช่วยให้ JavaScript สามารถแอบทำงานอยู่หลังฉาก (Background) ได้ นอกจากนั้นยังมีการใช้ WebSockets ในการสื่อสารเพื่อรับคำสั่งจากเซิร์ฟเวอร์อีกด้วย โดยรูปแบบการทำงานของมัลแวร์ตัวนี้จะปรับการทำงานตามศักยภาพของเครื่องเพื่อไม่ให้เกิดภาวะเครื่องอืดจนถูกจับได้

นอกจากในส่วนการทำงานของมัลแวร์แล้ว จากการตรวจสอบโค้ด JavaScript ที่ถูกฝังบนเว็บไซต์ที่ถูกแฮกทั้ง 3,500 แห่งแล้ว พบว่าตัวโดเมนที่โฮสต์ JavaScript ดังกล่าวไว้นั้นมีความเชื่อมโยงกับมัลแวร์ขโมยรหัสบัตรเครดิต (Credit Card Skimmer) บนเว็บไซต์ที่มีชื่อว่า Magecart นำไปสู่ข้อสันนิษฐานว่าทั้งหมดนี้เป็นระบบการกระจายความเสี่ยงและสร้างรายได้สองทางของทางกลุ่มแฮกเกอร์ที่อยู่เบื้องหลังแคมเปญดังกล่าว โดยมัลแวร์ตัวหลังนี้แฮกเกอร์จะมุ่งเน้นไปยังการฝังลงเว็บไซต์ด้านอีคอมเมิร์ซ (E-Commerce) ที่ให้บริการในภูมิภาคเอเชียตะวันออก ที่มีการใช้เครื่องมือจัดการเนื้อหาบนเว็บไซต์ (Content Management System หรือ CMS) ที่มีชื่อว่า OpenCart ซึ่งการทำงานนั้นคือ ตัวมัลแวร์จะทำการยิง (Injection) แบบฟอร์มชำระเงินปลอม เพื่อเก็บข้อมูลด้านการเงินต่าง ๆ เช่น ข้อมูลธนาคาร และ เลขบัตรเครดิต เพื่อส่งกลับไปยังเซิร์ฟเวอร์ของแฮกเกอร์

ทางแหล่งข่าวยังได้มีการกล่าวถึงแคมเปญการโจมตีเพื่อใช้เว็บไซต์เป็นตัวกลางในการเข้าโจมตีผู้เยี่ยมชมที่เกิดขึ้นในช่วงไม่กี่สัปดาห์ที่ผ่านมาอีกเป็นจำนวนมาก เช่น

• การฝัง JavaScript เพื่อใช้งาน Callback Parameter ที่เกี่ยวข้องกับระบบยืนยันตัวตน Google OAuth (accounts.google[.]com/o/oauth2/revoke) เพื่อเปลี่ยนทิศทางการเชื่อมต่อไปยัง JavaScript ที่ถูกเขียนในรูปแบบตีรวนระบบ (Obfuscation) ซึ่งทำหน้าที่ในการสร้างการเชื่อมต่อในรูปแบบ Web Sockets ที่จะส่งผู้เยี่ยมชมไปยังโดเมนของแฮกเกอร์อีกที
• การยิงสคริปท์ผ่านทาง Google Tag Manager (GTM) เข้าเว็บไซต์ของเหยื่อโดยตรงเพื่อปรับเปลี่ยนบางส่วนบนฐานข้อมูล Wordpress (เช่น ตาราง wp_options และ wp_posts เป็นต้น) เพื่อใช้ในการดึง JavaScript จากเซิร์ฟเวอร์ของแฮกเกอร์ลงมาทำหน้าที่ส่งผู้เยี่ยมชมไปยังเว็บไซต์หลอกลวงที่แฮกเกอร์เตรียมไว้ ซึ่งมีมากถึง 200 เว็บไซต์
• เข้าดัดแปลงไฟล์ wp-settings.php บนเว็บไซต์ที่ถูกสร้างขึ้นบน Wordpress เพื่อใช้แทรกโค้ด PHP ที่แฮกเกอร์ซุกซ่อนไว้บนไฟล์ Zip ที่ทำหน้าที่ในการเชื่อมต่อกับเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control) เพื่อใช้ในการยิงคอนเทนต์สแปมในการทำ SEO (Search Engine Optimization) สายมืดในการดันลำดับการค้นหาเว็บไซต์ให้ขึ้นหน้า 1 ของ Search Engine เพื่อค้นหาชุดคำ (Keyword) ที่ถูกกำหนดไว้
• การยิงโค้ดลงไปในส่วน footer ของสคริปท์ PHP ที่ทำหน้าที่เป็นธีมของเว็บไซต์ Wordpress เพื่อใช้ในการเปลี่ยนจุดหมายการเยี่ยมชมไปยังเว็บไซต์หลอกลวงที่แฮกเกอร์เตรียมไว้
• การใช้ปลั๊กอิน Wordpress ปลอมที่ตั้งชื่อตามโดเมนที่แฮกเกอร์ฝังมัลแวร์ไว้เพื่อป้องกันการถูกตรวจจับโดยระบบป้องกัน และจะทำงานเมื่อบอทสำรวจเว็บไซต์ (Crawler) ของ Search Engine เข้ามาเยี่ยมชมเว็บไซต์ เพื่อเป็นการล่อลวงให้ตัว Search Engine เพิ่มคอนเทนต์ Spam ลงบนผลการค้นหา
• การใช้ปลั๊กอิน Gravity Forms ฉบับฝังมัลแวร์เพื่อเพิ่มบัญชีผู้ใช้งานระดับผู้ดูแลระบบ (Administrator หรือ Admin) ลงเว็บไซต์ เพื่อให้แฮกเกอร์เข้าควบคุมเว็บไซต์ได้อย่างสมบูรณ์

➤ Website : https://www.thaiware.com
➤ Facebook : https://www.facebook.com/thaiware
➤ Twitter : https://www.twitter.com/thaiware
➤ YouTube : https://www.youtube.com/thaiwaretv