เตือนสคริปต์ Cryptojacking อาจแฝงมากับไฟล์ MS Word

Amit Dori นักวิจัยด้านความมั่นคงปลอดภภัยจาก Votiro ออกมาแจ้งเตือนถึงการซ่อนสคริปต์ Cryptojacking ไว้ในไฟล์วิดีโอที่ฝังมากับไฟล์เอกสาร MS Word เวอร์ชันล่าสุด เสี่ยงถูกลอบขุดเหรียญ Monero โดยไม่รู้ตัว

การโจมตีนี้เกิดขึ้นได้จากการที่ Microsoft Word เวอร์ชันล่าสุดนั้นรองรับให้ผู้ใช้สามารถฝังวิดีโอจากอินเทอร์เน็ตเข้าไปในไฟล์เอกสาร แต่เป็นการฝังสคริปต์ ไม่ได้ใช้วิธีการฝังไฟล์วิดีโอเข้าไปในเนื้อเอกสารจริงๆ กล่าวคือ ผู้ใช้สามารถก็อปวางโค้ด iframe ของวิดีโอเข้าไปยังไฟล์ MS Word เมื่อผู้ใช้กดปุ่มเล่นวิดีโอบน iframe วิดีโอจะถูกโหลดและเด้งขึ้นมาเล่นในรูปแบบของ Pop-up ทันที ด้วยวิธีรันสคริปต์บนไฟล์ MS Word แบบนี้ ส่งผลให้แฮ็กเกอร์สามารถลอบฝังสคริปต์ Cryptojacking ไว้ในวิดีโอเพื่อขุดเหรียญดิจิทัลอย่าง Monero ได้

Dori ระบุว่า สาเหตุเกิดจากการที่ MS Word ยินยอมให้ฝังโค้ด iframe จากไหนไม่รู้บนอินเทอร์เน็ตลงบนไฟล์เอกสาร แทนที่จะบังคับให้เป็นโค้ดที่มาจากแหล่งที่มาที่ตัวเอง Whitelist ไว้ เช่น YouTube รวมไปถึง Pop-up ที่ให้เช่นวิดีโอนั้น แท้ที่จริงแล้วคือเบราว์เซอร์ Internet Explorer แบบ Headless เหล่านี้ส่งผลให้แฮ็กเกอร์สามารถโฮสต์วิดีโอบนโดเมนของตนเอง แล้วฝังสคริปต์ In-browser Cryptocurrency Miner ไปพร้อมๆ กับวิดีโอบนไฟล์เอกสาร แล้วส่งไปหลอกให้ผู้อื่นเปิดเพื่อขุดเหรียญดิจิทัลได้

อย่างไรก็ตาม Dori ระบุว่าการทำ Cryptojacking บนไฟล์ MS Word อาจไม่เป็นที่นิยมและไม่คุ้มค่ามากนัก เนื่องจากรายได้จากการขุดเหรียญดิจิทัลขึ้นอยู่กับระยะเวลาที่เหยื่อทำการเปิดไฟล์และเล่นวิดีโอ ซึ่งเป็นไปได้ยากที่จะโน้มน้าวให้เหยื่อเปิดไฟล์เอกสารดังกล่าวเป็นประจำทุกวัน ทางที่ดีกว่าคือการฝังสคริปต์ Cryptojacking ลงบนเว็บดูหนังออนไลน์หรือเว็บโป๊

แม้กระนั้น เป็นไปได้ที่แฮ็กเกอร์จะอาศัยการฝังสคริปต์วิดีโอลงไฟล์ MS Word รูปแบบนี้ในการทำ Phishing เช่น หลอกให้เหยื่อล็อกอินเข้า YouTube หรือ Office 365 (ปลอม) ก่อนถึงจะมีสิทธิ์ดูวิดีโอได้

ที่มาและเครดิตรูปภาพ: https://www.bleepingcomputer.com/news/security/cryptojacking-scripts-could-soon-invade-your-word-documents/

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Tenable จับมือ Anthropic เข้าร่วม “Project Glasswing” ยกระดับการป้องกันไซเบอร์ในยุค AI [Guest Post]

การเข้าร่วม Project Glasswing และการได้ร่วมทำงานกับ Claude Mythos Preview ในครั้งนี้ จะช่วยให้ Tenable สามารถสนับสนุนลูกค้าให้เข้าใจพฤติกรรมของโมเดล AI ระดับแนวหน้า (Frontier AI) …

[Video] WatchGuard Webinar : Zero Trust Made Simple

ในอดีต การวางระบบ Zero Trust Architecture มักถูกมองว่าเป็น ‘ยาขม’ ของฝ่ายไอทีและองค์กรจำนวนมาก เพราะแนวคิดที่ต้อง ‘ไม่เชื่อใจใคร และต้องตรวจสอบเสมอ’ นั้น มักตามมาด้วยความซับซ้อนยุ่งเหยิงในการบริหารจัดการ ในงาน WatchGuard Webinar ครั้งนี้ท่านจะได้รับชมกับแนวทางที่ทำให้ Zero Trust …