Breaking News

เตือนเทคนิคใหม่แฮ็กเกอร์ ใช้ URL Shortener ของ Coinhive แอบขุดเหรียญดิจิทัล

ทีมนักวิจัยด้านความมั่นคงปลอดภัยของ Malwarebytes ออกมาแจ้งเตือนถึงแคมเปญมัลแวร์ใหม่ของแฮ็กเกอร์ เลิกแฮ็กเว็บเพื่อฝังโค้ด Coinhive JavaScript โดยตรงแล้ว แต่กลับใช้ URL Shortener ของ Coinhive ในการแอบขุดเหรียญดิจิทัลแทน เลี่ยงการตรวจจับของโปรแกรม Antivirus

Coinhive เป็นบริการบนเบราเซอร์ซึ่งช่วยให้เข้าของเว็บไซต์สามารถฝังโค้ด JavaScript เพื่อดึงทรัพยากรเครื่องของผู้เข้าชมเว็บไซต์มาขุดเหรียญเงิน Monero สร้างรายได้ให้แก่ตนเองได้ อย่างไรก็ตาม ตั้งแต่ช่วงกลางปี 2017 ที่ผ่านมา บริการดังกล่าวกลับถูกแฮ็กเกอร์นำไปใช้ในทางที่ผิด โดยแฮ็กเกอร์จะทำการแฮ็กเว็บและฝัง Coinhive JavaScript ของตนลงไป แล้วหลอกให้ผู้เข้าชมเว็บเหล่านั้นขุดเหรียญดิจิทัลให้แก่ตนเองแทนโดยที่เจ้าของเว็บไซต์ไม่รู้ตัว แต่หลังจากนั้นไม่นาน บริษัทด้าน Web Security และ Antivirus ก็ไหวตัวทัน อัปเดตผลิตภัณฑ์ของตนเองให้สามารถตรวจจับ Coinhive JavaScript ที่ไม่ได้รับอนุญาตได้สำเร็จ ทำให้การโจมตีรูปแบบดังกล่าวเริ่มไม่ได้ผล

ล่าสุด ทีมนักวิจัยของ Malwarebytes ออกมาเปิดเผยว่า พบการโจมตีโดยใช้ Coinhive รูปแบบใหม่ ซึ่งแทนที่แฮ็กเกอร์จะฝัง Coinhive JavaScript ไว้บนเว็บไซต์ที่แฮ็กโดยตรง เสี่ยงต่อการถูกตรวจจับได้ง่าย กลับใช้อีกบริการหนึ่งของ Coinhive คือ URL Shortener ซึ่งเป็นบริการย่อ URL แต่ระหว่างที่จะเปลี่ยนเส้นทาง URL ที่ถูกย่อไปยัง URL ต้นฉบับนั้น จะมีดีเลย์ซึ่งช่วยให้เจ้าของ URL สามารถขุดเหรียญ Monero ได้ชั่วขณะหนึ่ง มาใช้เป็นเครื่องมือในการหลอกขุดเหรียญดิจิทัลแทน

จนถึงตอนนี้ พบเว็บไซต์ที่ถูกแฮ็กเป็นจำนวนมาก และมีการฝัง URL สั้นที่ถูกย่อโดย Conihive ไว้ใน iframe ที่ซ่อนอยู่ในเว็บไซต์ (ขนาด 1×1 Pixel) ไม่ให้ผู้เข้าชมเห็น เพื่อแอบใช้ทรัพยากรเครื่องมาขุดเหรียญดิจิทัลให้แก่แฮ็กเกอร์

เนื่องจาก URL Shortener ถูกโหลดโดยใช้ iframe ที่ซ่อนพรางไว้ ทำให้เป็นเรื่องยากที่จะตรวจพบบนหน้าเว็บ ทรัพยากรเครื่องของผู้เข้าชมเว็บไซต์จะถูกนำไปใช้ขุดเหรียญดิจิทัลทันทีจนกว่าที่ URL ที่ถูกย่อจะเปลี่ยนเส้นทางไปยัง URL ต้นฉบับเสร็จเรียบร้อย อย่างไรก็ตาม เนื่องจากดีเลย์ที่ใช้ขุดเหรียญสามารถปรับแต่งได้ แฮ็กเกอร์จึงบังคับให้ผู้เข้าชมขุดเหรียญนานที่สุด และเมื่อเวลาหมดแล้ว ผู้เข้าชมก็จะถูกเปลี่ยนเส้นทางกลับมายังหน้าเว็บเดิมเพื่อเริ่มกระบวนการขุดเหรียญใหม่อีกครั้ง โดยผู้ใช้จะนึกว่าเกิดการรีเฟรชขึ้นเท่านั้น

นอกจากการซ่อน iframe แล้ว แฮ็กเกอร์ยังแอบฝัง Hyperlink เพื่อหลอกให้ผู้ที่เข้าชมเว็บไซต์ดาวน์โหลดมัลแวร์ Cryptocurrency Mining มาติดตั้งไว้บนเครื่องโดยหลอกว่าเป็นซอฟต์แวร์ถูกกฎหมายอีกด้วย

รายละเอียดเชิงเทคนิค: https://blog.malwarebytes.com/threat-analysis/2018/07/obfuscated-coinhive-shortlink-reveals-larger-mining-operation/

ที่มา: https://thehackernews.com/2018/07/coinhive-shortlink-crypto-mining.html


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

IBM เผยสร้าง Quantum Safe Tape Drive สำเร็จแล้ว

IBM ได้ออกมาเผยถึงผลงานจากทีม IBM Research ที่ Switzerland ร่วมกับทีม IBM Tape Developer ที่ได้ใช้เวลา 10 เดือนในการพัฒนาเทคโนโลยี Quantum Safe Tape Drive ซึ่งเข้ารหัสข้อมูลบน Tape ด้วยวิธีการที่ทนทานต่อพลังประมวลผลของ Quantum Computer ในอนาคตได้สำเร็จ

ซื้อไม่หยุด! VMware เผยแผนเข้าซื้อกิจการ Intrinsic ผู้พัฒนาเทคโนโลยีความปลอดภัยบน Serverless Computing

VMware ได้ออกมายืนยันถึงแผนการเข้าซื้อกิจการของ Instrinsic บริษัท Startup ด้าน Security สำหรับ Serverless Computing โดยไม่เปิดเผยมูลค่า