เตือนเทคนิคใหม่แฮ็กเกอร์ ใช้ URL Shortener ของ Coinhive แอบขุดเหรียญดิจิทัล

ทีมนักวิจัยด้านความมั่นคงปลอดภัยของ Malwarebytes ออกมาแจ้งเตือนถึงแคมเปญมัลแวร์ใหม่ของแฮ็กเกอร์ เลิกแฮ็กเว็บเพื่อฝังโค้ด Coinhive JavaScript โดยตรงแล้ว แต่กลับใช้ URL Shortener ของ Coinhive ในการแอบขุดเหรียญดิจิทัลแทน เลี่ยงการตรวจจับของโปรแกรม Antivirus

Coinhive เป็นบริการบนเบราเซอร์ซึ่งช่วยให้เข้าของเว็บไซต์สามารถฝังโค้ด JavaScript เพื่อดึงทรัพยากรเครื่องของผู้เข้าชมเว็บไซต์มาขุดเหรียญเงิน Monero สร้างรายได้ให้แก่ตนเองได้ อย่างไรก็ตาม ตั้งแต่ช่วงกลางปี 2017 ที่ผ่านมา บริการดังกล่าวกลับถูกแฮ็กเกอร์นำไปใช้ในทางที่ผิด โดยแฮ็กเกอร์จะทำการแฮ็กเว็บและฝัง Coinhive JavaScript ของตนลงไป แล้วหลอกให้ผู้เข้าชมเว็บเหล่านั้นขุดเหรียญดิจิทัลให้แก่ตนเองแทนโดยที่เจ้าของเว็บไซต์ไม่รู้ตัว แต่หลังจากนั้นไม่นาน บริษัทด้าน Web Security และ Antivirus ก็ไหวตัวทัน อัปเดตผลิตภัณฑ์ของตนเองให้สามารถตรวจจับ Coinhive JavaScript ที่ไม่ได้รับอนุญาตได้สำเร็จ ทำให้การโจมตีรูปแบบดังกล่าวเริ่มไม่ได้ผล

ล่าสุด ทีมนักวิจัยของ Malwarebytes ออกมาเปิดเผยว่า พบการโจมตีโดยใช้ Coinhive รูปแบบใหม่ ซึ่งแทนที่แฮ็กเกอร์จะฝัง Coinhive JavaScript ไว้บนเว็บไซต์ที่แฮ็กโดยตรง เสี่ยงต่อการถูกตรวจจับได้ง่าย กลับใช้อีกบริการหนึ่งของ Coinhive คือ URL Shortener ซึ่งเป็นบริการย่อ URL แต่ระหว่างที่จะเปลี่ยนเส้นทาง URL ที่ถูกย่อไปยัง URL ต้นฉบับนั้น จะมีดีเลย์ซึ่งช่วยให้เจ้าของ URL สามารถขุดเหรียญ Monero ได้ชั่วขณะหนึ่ง มาใช้เป็นเครื่องมือในการหลอกขุดเหรียญดิจิทัลแทน

จนถึงตอนนี้ พบเว็บไซต์ที่ถูกแฮ็กเป็นจำนวนมาก และมีการฝัง URL สั้นที่ถูกย่อโดย Conihive ไว้ใน iframe ที่ซ่อนอยู่ในเว็บไซต์ (ขนาด 1×1 Pixel) ไม่ให้ผู้เข้าชมเห็น เพื่อแอบใช้ทรัพยากรเครื่องมาขุดเหรียญดิจิทัลให้แก่แฮ็กเกอร์

เนื่องจาก URL Shortener ถูกโหลดโดยใช้ iframe ที่ซ่อนพรางไว้ ทำให้เป็นเรื่องยากที่จะตรวจพบบนหน้าเว็บ ทรัพยากรเครื่องของผู้เข้าชมเว็บไซต์จะถูกนำไปใช้ขุดเหรียญดิจิทัลทันทีจนกว่าที่ URL ที่ถูกย่อจะเปลี่ยนเส้นทางไปยัง URL ต้นฉบับเสร็จเรียบร้อย อย่างไรก็ตาม เนื่องจากดีเลย์ที่ใช้ขุดเหรียญสามารถปรับแต่งได้ แฮ็กเกอร์จึงบังคับให้ผู้เข้าชมขุดเหรียญนานที่สุด และเมื่อเวลาหมดแล้ว ผู้เข้าชมก็จะถูกเปลี่ยนเส้นทางกลับมายังหน้าเว็บเดิมเพื่อเริ่มกระบวนการขุดเหรียญใหม่อีกครั้ง โดยผู้ใช้จะนึกว่าเกิดการรีเฟรชขึ้นเท่านั้น

นอกจากการซ่อน iframe แล้ว แฮ็กเกอร์ยังแอบฝัง Hyperlink เพื่อหลอกให้ผู้ที่เข้าชมเว็บไซต์ดาวน์โหลดมัลแวร์ Cryptocurrency Mining มาติดตั้งไว้บนเครื่องโดยหลอกว่าเป็นซอฟต์แวร์ถูกกฎหมายอีกด้วย

รายละเอียดเชิงเทคนิค: https://blog.malwarebytes.com/threat-analysis/2018/07/obfuscated-coinhive-shortlink-reveals-larger-mining-operation/

ที่มา: https://thehackernews.com/2018/07/coinhive-shortlink-crypto-mining.html


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Drupal ออกอัปเดต Core CMS อุดช่องโหว่หลายรายการตั้งแต่เวอร์ชัน 7, 8.5 และ 8.6

Drupal ระบบ Content Management System แบบ Open Source ยอดนิยม ประกาศออกแพตช์ด้านความมั่นคงปลอดภัยเพื่ออุดช่องโหว่ความรุนแรงระดับ “Moderately Critical” หลายรายการบน Drupal Core …

Microsoft เปิดตัวภาษา Bosque เขียนโปรแกรมแบบไม่มี Loop ได้แรงบันดาลใจจาก TypeScript

Microsoft ได้ออกมาเปิดตัว Open Source Programming Language ใหม่ที่มีชื่อว่า Bosque โดยมุ่งเน้นไปที่ความง่ายดายในการพัฒนาเป็นหลัก