TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
นักวิจัยด้านความปลอดภัยจาก SANS Institute’s Internet Storm Center ได้ออกมาเปิดเผยถึงการที่ Joomla ตกเป็นเป้าในการเจาะช่องโหว่เพื่อนำโค้ดสำหรับแพร่เชื้อ Ransomware ตระกูล Teslacrypt ไปยังผู้ใช้งานเข้าไปฝังบนเว็บไซต์ ต่อเนื่องจากก่อนหน้านี้ที่ WordPress ตกเป็นเป้าหมายไปแล้ว
ทางด้าน Sucuri เองก็ได้ออกมายืนยันกับ Threatpost เช่นกันว่ามีการตรวจพบ Malware ที่โจมตีผ่านเว็บไซต์ที่ใช้ Joomla แต่ระดับความรุนแรงนั้นมีต่ำกว่า WordPress เพราะจำนวนเว็บไซต์ที่พัฒนาด้วย Joomla มีน้อยกว่า
สำหรับแนวทางที่ใช้ในการโจมตีนั้น ผู้โจมตีจะเริ่มต้นด้วยการเจาะช่องโหว่ของเว็บไซต์ที่ใช้ Joomla เพื่อนำโค้ดที่เป็นอันตรายเข้าไปฝัง เพื่อสร้างทั้ง Backdoor และกล่อง iframe สำหรับแสดงโฆษณาปลอมเพื่อหลอกให้ผู้ใช้คลิกเข้าไปยังเว็บไซต์ที่ใช้ Exploit Kit ต่างๆ ในการเจาะช่องโหว่ของเครื่องผู้ใช้งานโดยอัตโนมัติ และทำการฝัง Ransomware ลงในเครื่องของผู้ใช้งานต่อเนื่องทันที
ทั้งนี้เหล่านักวิจัยด้านความปลอดภัยก็เชื่อว่าการโจมตีโดยการใช้ Angler Exploit Kit และ Nuclear Exploit Kit ครั้งนี้น่าจะมีผู้อยู่เบื้องหลังเป็นกลุ่มเดียวกันจากการตรวจสอบ Hex Code ที่ถูกฝังเข้ามาเป็นส่วนหนึ่งของไฟล์ .js ใน Script ที่ฝังเข้ามา และเมื่อแปลงค่า Hex เหล่านั้นเป็น ASCII แล้ว ก็จะพบกับ URL ของหน้าโฆษณาที่นำไปสู่การโจมตีด้วย Exploit Kit นั่นเอง
ดังนั้นช่วงนี้ใครที่ดูแลเว็บไซต์ที่ใช้ทั้ง WordPress, Joomla, Drupal รวมถึงเว็บไซต์ทั่วๆ ไปเองก็ควรจะหมั่นตรวจสอบความปลอดภัยเอาไว้อยู่เสมอๆ นะครับ
ที่มา: https://threatpost.com/joomla-sites-join-wordpress-as-teslacrypt-ransomware-target/116362/
