Breaking News

เตือนเทคนิคใหม่แฮ็กเกอร์ ใช้ URL Shortener ของ Coinhive แอบขุดเหรียญดิจิทัล

ทีมนักวิจัยด้านความมั่นคงปลอดภัยของ Malwarebytes ออกมาแจ้งเตือนถึงแคมเปญมัลแวร์ใหม่ของแฮ็กเกอร์ เลิกแฮ็กเว็บเพื่อฝังโค้ด Coinhive JavaScript โดยตรงแล้ว แต่กลับใช้ URL Shortener ของ Coinhive ในการแอบขุดเหรียญดิจิทัลแทน เลี่ยงการตรวจจับของโปรแกรม Antivirus

Coinhive เป็นบริการบนเบราเซอร์ซึ่งช่วยให้เข้าของเว็บไซต์สามารถฝังโค้ด JavaScript เพื่อดึงทรัพยากรเครื่องของผู้เข้าชมเว็บไซต์มาขุดเหรียญเงิน Monero สร้างรายได้ให้แก่ตนเองได้ อย่างไรก็ตาม ตั้งแต่ช่วงกลางปี 2017 ที่ผ่านมา บริการดังกล่าวกลับถูกแฮ็กเกอร์นำไปใช้ในทางที่ผิด โดยแฮ็กเกอร์จะทำการแฮ็กเว็บและฝัง Coinhive JavaScript ของตนลงไป แล้วหลอกให้ผู้เข้าชมเว็บเหล่านั้นขุดเหรียญดิจิทัลให้แก่ตนเองแทนโดยที่เจ้าของเว็บไซต์ไม่รู้ตัว แต่หลังจากนั้นไม่นาน บริษัทด้าน Web Security และ Antivirus ก็ไหวตัวทัน อัปเดตผลิตภัณฑ์ของตนเองให้สามารถตรวจจับ Coinhive JavaScript ที่ไม่ได้รับอนุญาตได้สำเร็จ ทำให้การโจมตีรูปแบบดังกล่าวเริ่มไม่ได้ผล

ล่าสุด ทีมนักวิจัยของ Malwarebytes ออกมาเปิดเผยว่า พบการโจมตีโดยใช้ Coinhive รูปแบบใหม่ ซึ่งแทนที่แฮ็กเกอร์จะฝัง Coinhive JavaScript ไว้บนเว็บไซต์ที่แฮ็กโดยตรง เสี่ยงต่อการถูกตรวจจับได้ง่าย กลับใช้อีกบริการหนึ่งของ Coinhive คือ URL Shortener ซึ่งเป็นบริการย่อ URL แต่ระหว่างที่จะเปลี่ยนเส้นทาง URL ที่ถูกย่อไปยัง URL ต้นฉบับนั้น จะมีดีเลย์ซึ่งช่วยให้เจ้าของ URL สามารถขุดเหรียญ Monero ได้ชั่วขณะหนึ่ง มาใช้เป็นเครื่องมือในการหลอกขุดเหรียญดิจิทัลแทน

จนถึงตอนนี้ พบเว็บไซต์ที่ถูกแฮ็กเป็นจำนวนมาก และมีการฝัง URL สั้นที่ถูกย่อโดย Conihive ไว้ใน iframe ที่ซ่อนอยู่ในเว็บไซต์ (ขนาด 1×1 Pixel) ไม่ให้ผู้เข้าชมเห็น เพื่อแอบใช้ทรัพยากรเครื่องมาขุดเหรียญดิจิทัลให้แก่แฮ็กเกอร์

เนื่องจาก URL Shortener ถูกโหลดโดยใช้ iframe ที่ซ่อนพรางไว้ ทำให้เป็นเรื่องยากที่จะตรวจพบบนหน้าเว็บ ทรัพยากรเครื่องของผู้เข้าชมเว็บไซต์จะถูกนำไปใช้ขุดเหรียญดิจิทัลทันทีจนกว่าที่ URL ที่ถูกย่อจะเปลี่ยนเส้นทางไปยัง URL ต้นฉบับเสร็จเรียบร้อย อย่างไรก็ตาม เนื่องจากดีเลย์ที่ใช้ขุดเหรียญสามารถปรับแต่งได้ แฮ็กเกอร์จึงบังคับให้ผู้เข้าชมขุดเหรียญนานที่สุด และเมื่อเวลาหมดแล้ว ผู้เข้าชมก็จะถูกเปลี่ยนเส้นทางกลับมายังหน้าเว็บเดิมเพื่อเริ่มกระบวนการขุดเหรียญใหม่อีกครั้ง โดยผู้ใช้จะนึกว่าเกิดการรีเฟรชขึ้นเท่านั้น

นอกจากการซ่อน iframe แล้ว แฮ็กเกอร์ยังแอบฝัง Hyperlink เพื่อหลอกให้ผู้ที่เข้าชมเว็บไซต์ดาวน์โหลดมัลแวร์ Cryptocurrency Mining มาติดตั้งไว้บนเครื่องโดยหลอกว่าเป็นซอฟต์แวร์ถูกกฎหมายอีกด้วย

รายละเอียดเชิงเทคนิค: https://blog.malwarebytes.com/threat-analysis/2018/07/obfuscated-coinhive-shortlink-reveals-larger-mining-operation/

ที่มา: https://thehackernews.com/2018/07/coinhive-shortlink-crypto-mining.html



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

6 สิ่งที่ควรทำเพื่อรับมือกับภัยคุกคามไซเบอร์ในปี 2020

Phil Quade, CISO ของ Fortinet ได้ออกมาให้คำแนะนำถึง 6 สิ่งที่องค์กรควรพิจารณาเพื่อการปกป้องสินทรัพย์ดิจิทัลและรับมือกับภัยคุกคามไซเบอร์อย่างมีประสิทธิภาพในปี 2020 ดังนี้

Cisco เพิ่มความสามารถให้ Network Insights ยกระดับการป้องกันปัญหาแบบ Proactive

Cisco ได้เเผยความสามารถใหม่ในฟังก์ชัน Network Insights ใน Data Center Network Assurance ให้สามารถรวบรวมข้อมูลในเครือข่าย แจ้งเตือน และระบุปัญหา ได้ก่อนเกิดเหตุ