Breaking News

เตือนเทคนิคใหม่แฮ็กเกอร์ ใช้ URL Shortener ของ Coinhive แอบขุดเหรียญดิจิทัล

ทีมนักวิจัยด้านความมั่นคงปลอดภัยของ Malwarebytes ออกมาแจ้งเตือนถึงแคมเปญมัลแวร์ใหม่ของแฮ็กเกอร์ เลิกแฮ็กเว็บเพื่อฝังโค้ด Coinhive JavaScript โดยตรงแล้ว แต่กลับใช้ URL Shortener ของ Coinhive ในการแอบขุดเหรียญดิจิทัลแทน เลี่ยงการตรวจจับของโปรแกรม Antivirus

Coinhive เป็นบริการบนเบราเซอร์ซึ่งช่วยให้เข้าของเว็บไซต์สามารถฝังโค้ด JavaScript เพื่อดึงทรัพยากรเครื่องของผู้เข้าชมเว็บไซต์มาขุดเหรียญเงิน Monero สร้างรายได้ให้แก่ตนเองได้ อย่างไรก็ตาม ตั้งแต่ช่วงกลางปี 2017 ที่ผ่านมา บริการดังกล่าวกลับถูกแฮ็กเกอร์นำไปใช้ในทางที่ผิด โดยแฮ็กเกอร์จะทำการแฮ็กเว็บและฝัง Coinhive JavaScript ของตนลงไป แล้วหลอกให้ผู้เข้าชมเว็บเหล่านั้นขุดเหรียญดิจิทัลให้แก่ตนเองแทนโดยที่เจ้าของเว็บไซต์ไม่รู้ตัว แต่หลังจากนั้นไม่นาน บริษัทด้าน Web Security และ Antivirus ก็ไหวตัวทัน อัปเดตผลิตภัณฑ์ของตนเองให้สามารถตรวจจับ Coinhive JavaScript ที่ไม่ได้รับอนุญาตได้สำเร็จ ทำให้การโจมตีรูปแบบดังกล่าวเริ่มไม่ได้ผล

ล่าสุด ทีมนักวิจัยของ Malwarebytes ออกมาเปิดเผยว่า พบการโจมตีโดยใช้ Coinhive รูปแบบใหม่ ซึ่งแทนที่แฮ็กเกอร์จะฝัง Coinhive JavaScript ไว้บนเว็บไซต์ที่แฮ็กโดยตรง เสี่ยงต่อการถูกตรวจจับได้ง่าย กลับใช้อีกบริการหนึ่งของ Coinhive คือ URL Shortener ซึ่งเป็นบริการย่อ URL แต่ระหว่างที่จะเปลี่ยนเส้นทาง URL ที่ถูกย่อไปยัง URL ต้นฉบับนั้น จะมีดีเลย์ซึ่งช่วยให้เจ้าของ URL สามารถขุดเหรียญ Monero ได้ชั่วขณะหนึ่ง มาใช้เป็นเครื่องมือในการหลอกขุดเหรียญดิจิทัลแทน

จนถึงตอนนี้ พบเว็บไซต์ที่ถูกแฮ็กเป็นจำนวนมาก และมีการฝัง URL สั้นที่ถูกย่อโดย Conihive ไว้ใน iframe ที่ซ่อนอยู่ในเว็บไซต์ (ขนาด 1×1 Pixel) ไม่ให้ผู้เข้าชมเห็น เพื่อแอบใช้ทรัพยากรเครื่องมาขุดเหรียญดิจิทัลให้แก่แฮ็กเกอร์

เนื่องจาก URL Shortener ถูกโหลดโดยใช้ iframe ที่ซ่อนพรางไว้ ทำให้เป็นเรื่องยากที่จะตรวจพบบนหน้าเว็บ ทรัพยากรเครื่องของผู้เข้าชมเว็บไซต์จะถูกนำไปใช้ขุดเหรียญดิจิทัลทันทีจนกว่าที่ URL ที่ถูกย่อจะเปลี่ยนเส้นทางไปยัง URL ต้นฉบับเสร็จเรียบร้อย อย่างไรก็ตาม เนื่องจากดีเลย์ที่ใช้ขุดเหรียญสามารถปรับแต่งได้ แฮ็กเกอร์จึงบังคับให้ผู้เข้าชมขุดเหรียญนานที่สุด และเมื่อเวลาหมดแล้ว ผู้เข้าชมก็จะถูกเปลี่ยนเส้นทางกลับมายังหน้าเว็บเดิมเพื่อเริ่มกระบวนการขุดเหรียญใหม่อีกครั้ง โดยผู้ใช้จะนึกว่าเกิดการรีเฟรชขึ้นเท่านั้น

นอกจากการซ่อน iframe แล้ว แฮ็กเกอร์ยังแอบฝัง Hyperlink เพื่อหลอกให้ผู้ที่เข้าชมเว็บไซต์ดาวน์โหลดมัลแวร์ Cryptocurrency Mining มาติดตั้งไว้บนเครื่องโดยหลอกว่าเป็นซอฟต์แวร์ถูกกฎหมายอีกด้วย

รายละเอียดเชิงเทคนิค: https://blog.malwarebytes.com/threat-analysis/2018/07/obfuscated-coinhive-shortlink-reveals-larger-mining-operation/

ที่มา: https://thehackernews.com/2018/07/coinhive-shortlink-crypto-mining.html



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Palo Alto Networks Webinar: จัดการ Cloud-Native อย่างไรให้มั่นคงปลอดภัยในยุค New Normal

Palo Alto Networks ร่วมกับ Google และ NTT (Thailand) ขอเรียนเชิญเหล่า IT Manager, DevOps Engineer, Software Developer และ System Engineer เข้าร่วมสัมมนาออนไลน์เรื่อง “จัดการ Cloud-Native อย่างไรให้มั่นคงปลอดภัยในยุค New Normal” พร้อมร่วมพูดคุยกับผู้เชี่ยวชาญทั้งจาก GCP และ Palo Alto Networks เพื่อให้รู้จักและเข้าใจการใช้งาน Kubernetes ได้ดียิ่งขึ้น ตลอดจนการสร้างความมั่นคงปลอดภัยซึ่งเป็นสิ่งสำคัญและเรื่องท้าทายที่ทุกองค์กรต้องเผชิญ ในวันอังคารที่ 21 กรกฎาคม 2020 เวลา 14:00 – 15:30 น. ผ่าน Live Webinar

Juniper Networks ออกแพตช์ช่องโหว่หลายรายการให้ Junos OS

มีการอัปเดตแพตช์หลายรายการบน Junos OS หรือระบบปฏิบัติการของผลิตภัณฑ์ Juniper Networks รวมถึงยังมีแพตช์ครอบคลุมไปถึง Juniper Secure Analytics, Junos Space และ Junos Space …