TTT Virtual Summit: Enterprise Cybersecurity & Privacy 2023
CDIC 2023

พบแคมเปญ Malvertising แพร่ Ransomware ผ่านเว็บไซต์ชื่อดัง

March 20, 2016 Products, Security, Threats Update, Trustwave, Web Security

trustwave_logo

SpiderLabs ทีมนักเจาะระบบของ Trustwave ออกมาเปิดเผยถึง Malvertising Campaign ใหม่ ที่ใช้ช่องทางโฆษณาบนเว็บไซต์ชื่อดังอย่าง The New York Times, BBC, MSN, AOL และอื่นๆ ในการแพร่กระจาย Ransomware หรือมัลแวร์เรียกค่าไถ่ไปยังเครื่องของเหยื่อที่หลงกดลิงค์โฆษณาเหล่านั้น

ส่งผู้ใช้ที่กดโฆษณาไปเว็บไซต์ที่มี Angler Exploit Kit ฝังอยู่

Malvertising เป็นภัยคุกคาม Phishing รูปแบบหนึ่ง ซึ่งทำการฝังลิงค์โฆษณาที่จะนำไปสู่ Malicious Sites ไว้ในเว็บไซต์ปกติทั่วไปที่ให้บริการโฆษณาโดยที่เจ้าของเว็บไซต์เองอาจจะไม่รู้ตัว เมื่อผู้ใช้เข้าถึงเว็บไซต์ดังกล่าวและเผลอกดลิงค์โฆษณานี้ ผู้ใช้จะถูก Redirect ไปยังเว็บไซต์ที่มี Angler Exploit Kit ฝังอยู่

Angler เป็น Exploit Kit ที่ประกอบด้วยเครื่องมือสำหรับแฮ็คและโจมตีแบบ Zero-day มากมาย ช่วยให้แฮ็คเกอร์สามารถส่งมัลแวร์เข้าเครื่องของเหยื่อที่เข้ามาได้อย่างง่ายดาย ในกรณีนี้ Angler จะทำการสแกนช่องโหว่บน PC จากนั้นจะโหลดโทรจัน Bedep และ TeslaCrypt Ransomware ลงบนเครื่องของเหยื่อเพื่อเตรียมเข้ารหัสไฟล์และเรียกค่าไถ่

Credit: Macrovector/ShutterStock
Credit: Macrovector/ShutterStock

ซื้อโดเมนบริษัทสื่อโฆษณามาสวมรอยใช้กระจาย Malvertising Campaign

จากการตรวจสอบการทำงานเบื้องหลังของ Malvertising Campaign ดังกล่าว พบว่าแฮ็คเกอร์มีการสวมรอยซื้อโดเมนเว็บไซต์ของ Brentsmedia บริษัทสื่อโฆษณาออนไลน์ที่เพิ่งล้มเลิกกิจการไปเมื่อวันที่ 6 มีนาคม 2016 ที่ผ่านมา ผู้ที่ซื้อมีชื่อว่า Pavel G Ashtahov หลังจากนั้น Malvertising Campaign นี้ก็เริ่มปรากฏให้เห็น

จุดเด่นของ Malvertising Campaign นี้คือ มีเทคนิคสำหรับหลบหลีกการตรวจจับของระบบความมั่นคงปลอดภัย ซึ่งเมื่อตรวจพบว่าเครื่องของเหยื่อมีการรัน Antivirus ตัวโฆษณาจะโจมตีเครื่องของเหยื่อในรูปของ Stealth Mode จนในที่สุดก็จะสามารถ Redirect เหยื่อไปยัง Malicioud Site ได้อยู่ดี

แนะนำให้บล็อก URL ของ Malicious Sites ให้เรียบร้อย

SpiderLabs ระบุว่า Malvertising Campaign นี้ถูกแพร่กระจายอยู่บนเครือข่ายโฆษณาของ Adnxs ซึ่งได้จัดการแก้ไขปัญหานี้ไปแล้ว และ Taggify ซึ่งยังไม่ตอบสนองต่อเหตุการณ์นี้แต่อย่างใด ทั้งนี้ นอกจากโดเมน brendtsmedia[dot]com แล้ว ยังมีอีก 2 โดเมนที่มีลักษณะพฤติกรรมเหมือนกัน นั่นคือ envangmedia[dot]com และ markets.shangjiamedia[dot]com ซึ่งแนะนำให้แต่ละบริษัทและองค์กรทำการบล็อคทั้ง 3 URLs นี้เพื่อป้องกันการตกเป็นเหยื่อโดยไม่รู้ตัว

ที่มา: http://thehackernews.com/2016/03/what-is-malvertising.html

Tags


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

[โปรพิเศษรอบ Early Bird] คอร์สเรียน ‘Incident Response’ จาก Sosecure เรียนออนไลน์ เน้นลงมือจริง 3 วันเต็ม

Incident Response เป็นหนึ่งในหัวข้อหลักของแผนการที่ทุกองค์กรควรมือ คำถามคือทุกวันนี้องค์กรหรือบริษัทที่ท่านมีส่วนรวมมีแผนรับมือเหล่านี้ได้ดีเพียงใด ครอบคลุมความเสี่ยงและเคยผ่านสถานการณ์จริงมาได้ดีแค่ไหน ซึ่งหากปฏิบัติตามแผนได้ดีก็อาจจะช่วยลดผลกระทบของความเสียหายได้อย่างมีนัยสำคัญ ด้วยเหตุนี้เองจึงอยากขอเชิญชวนผู้สนใจทุกท่านมาเพิ่มพูนความรู้ในคอร์สสุดพิเศษจาก Sosecure โดยเนื้อหาจะกล่าวถึง Framework, Incident Response และ Incident Handling …

[โปรพิเศษรอบ Early Bird] คอร์สเรียน ‘Threat Hunting’ จาก Sosecure เรียนออนไลน์ เน้นลงมือจริง 3 วันเต็ม

การต่อกรกับภัยคุกคามทางไซเบอร์ไม่จำเป็นที่จะต้องเป็นฝ่ายตั้งรับเท่านั้น และหากทำได้ดีเราก็สามารถลงมือตอบสนองก่อนเกิดเหตุได้เช่นกัน ยิ่งทำได้เร็วเท่าไหร่ยิ่งดี ซึ่งทีม Threat Hunting มีบทบาทอย่างมากในการทำงานร่วมกับระบบ SoC ซึ่งสามารถใช้ข้อมูลภัยคุกคามจากทั่วทุกมุมโลกมาช่วยตรวจจับการโจมตีที่เกิดขึ้นได้  คำถามคือแล้วในงานเหล่านี้ควรมีทักษะเกี่ยวข้องในด้านไหนบ้าง Sosecure ขอชวนผู้สนใจในสายงานด้าน Cybersecurity ที่ต้องการรู้ลึก ทำได้จริง …

ติดต่อโฆษณา info@techtalkthai.com

©2019 สงวนลิขสิทธิ์โดย TechTalkThai - กรุงเทพมหานคร, ประเทศไทย | ©2019 TechTalkThai, All rights reserved. - Bangkok, Thailand