CDIC 2023

เตือนเทคนิคใหม่แฮ็กเกอร์ ใช้ URL Shortener ของ Coinhive แอบขุดเหรียญดิจิทัล

ทีมนักวิจัยด้านความมั่นคงปลอดภัยของ Malwarebytes ออกมาแจ้งเตือนถึงแคมเปญมัลแวร์ใหม่ของแฮ็กเกอร์ เลิกแฮ็กเว็บเพื่อฝังโค้ด Coinhive JavaScript โดยตรงแล้ว แต่กลับใช้ URL Shortener ของ Coinhive ในการแอบขุดเหรียญดิจิทัลแทน เลี่ยงการตรวจจับของโปรแกรม Antivirus

Coinhive เป็นบริการบนเบราเซอร์ซึ่งช่วยให้เข้าของเว็บไซต์สามารถฝังโค้ด JavaScript เพื่อดึงทรัพยากรเครื่องของผู้เข้าชมเว็บไซต์มาขุดเหรียญเงิน Monero สร้างรายได้ให้แก่ตนเองได้ อย่างไรก็ตาม ตั้งแต่ช่วงกลางปี 2017 ที่ผ่านมา บริการดังกล่าวกลับถูกแฮ็กเกอร์นำไปใช้ในทางที่ผิด โดยแฮ็กเกอร์จะทำการแฮ็กเว็บและฝัง Coinhive JavaScript ของตนลงไป แล้วหลอกให้ผู้เข้าชมเว็บเหล่านั้นขุดเหรียญดิจิทัลให้แก่ตนเองแทนโดยที่เจ้าของเว็บไซต์ไม่รู้ตัว แต่หลังจากนั้นไม่นาน บริษัทด้าน Web Security และ Antivirus ก็ไหวตัวทัน อัปเดตผลิตภัณฑ์ของตนเองให้สามารถตรวจจับ Coinhive JavaScript ที่ไม่ได้รับอนุญาตได้สำเร็จ ทำให้การโจมตีรูปแบบดังกล่าวเริ่มไม่ได้ผล

ล่าสุด ทีมนักวิจัยของ Malwarebytes ออกมาเปิดเผยว่า พบการโจมตีโดยใช้ Coinhive รูปแบบใหม่ ซึ่งแทนที่แฮ็กเกอร์จะฝัง Coinhive JavaScript ไว้บนเว็บไซต์ที่แฮ็กโดยตรง เสี่ยงต่อการถูกตรวจจับได้ง่าย กลับใช้อีกบริการหนึ่งของ Coinhive คือ URL Shortener ซึ่งเป็นบริการย่อ URL แต่ระหว่างที่จะเปลี่ยนเส้นทาง URL ที่ถูกย่อไปยัง URL ต้นฉบับนั้น จะมีดีเลย์ซึ่งช่วยให้เจ้าของ URL สามารถขุดเหรียญ Monero ได้ชั่วขณะหนึ่ง มาใช้เป็นเครื่องมือในการหลอกขุดเหรียญดิจิทัลแทน

จนถึงตอนนี้ พบเว็บไซต์ที่ถูกแฮ็กเป็นจำนวนมาก และมีการฝัง URL สั้นที่ถูกย่อโดย Conihive ไว้ใน iframe ที่ซ่อนอยู่ในเว็บไซต์ (ขนาด 1×1 Pixel) ไม่ให้ผู้เข้าชมเห็น เพื่อแอบใช้ทรัพยากรเครื่องมาขุดเหรียญดิจิทัลให้แก่แฮ็กเกอร์

เนื่องจาก URL Shortener ถูกโหลดโดยใช้ iframe ที่ซ่อนพรางไว้ ทำให้เป็นเรื่องยากที่จะตรวจพบบนหน้าเว็บ ทรัพยากรเครื่องของผู้เข้าชมเว็บไซต์จะถูกนำไปใช้ขุดเหรียญดิจิทัลทันทีจนกว่าที่ URL ที่ถูกย่อจะเปลี่ยนเส้นทางไปยัง URL ต้นฉบับเสร็จเรียบร้อย อย่างไรก็ตาม เนื่องจากดีเลย์ที่ใช้ขุดเหรียญสามารถปรับแต่งได้ แฮ็กเกอร์จึงบังคับให้ผู้เข้าชมขุดเหรียญนานที่สุด และเมื่อเวลาหมดแล้ว ผู้เข้าชมก็จะถูกเปลี่ยนเส้นทางกลับมายังหน้าเว็บเดิมเพื่อเริ่มกระบวนการขุดเหรียญใหม่อีกครั้ง โดยผู้ใช้จะนึกว่าเกิดการรีเฟรชขึ้นเท่านั้น

นอกจากการซ่อน iframe แล้ว แฮ็กเกอร์ยังแอบฝัง Hyperlink เพื่อหลอกให้ผู้ที่เข้าชมเว็บไซต์ดาวน์โหลดมัลแวร์ Cryptocurrency Mining มาติดตั้งไว้บนเครื่องโดยหลอกว่าเป็นซอฟต์แวร์ถูกกฎหมายอีกด้วย

รายละเอียดเชิงเทคนิค: https://blog.malwarebytes.com/threat-analysis/2018/07/obfuscated-coinhive-shortlink-reveals-larger-mining-operation/

ที่มา: https://thehackernews.com/2018/07/coinhive-shortlink-crypto-mining.html


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Intel เผยชิปประมวลผล 14th กำลังจะมาในธันวาคมนี้

Intel ได้ให้ข้อมูลเกี่ยวกับชิปรุ่นถัดไปหรือ 14th ที่ใช้ชื่อโค้ดว่า ‘Meteor Lake’ โดยคาดว่าจะปล่อยออกมาราวเดือนธันวาคมนี้ เพื่อกรุยทางต้อนรับงาน CES ต้นปีถัดไป ครั้งนี้มีรายละเอียดเชิงลึกเกี่ยวกับสถาปัตยกรรมทั้งแนวคิดการออกแบบที่เป็น Chiplet และส่วนประกอบต่างๆ รวมถึงแนวคิดการทำงานของ E-core …

Linux Foundation เปิดตัว Unified Acceleration Foundation

Linux Foundation เปิดตัว Unified Acceleration Foundation สร้างมาตรฐานกลางสำหรับ Accelerator Programming