Breaking News
เอาเครื่องเก่ามาแลก แล้วรับเงินคืนไปเลย!!

กลายเป็นดาบ 2 คม เมื่อแฮ็คเกอร์ซ่อนมัลแวร์ไว้ใน Let’s Encrypt Certificate

trend_micro_logo_h50

Trend Micro ผู้ให้บริการโซลูชันด้านความปลอดภัยชื่อดังของโลก ได้ออกมาเปิดเผยถึง Malvertising แคมเปญใหม่ ที่ใช้ Certificate ฟรีจาก Let’s Encrypt ในการหลอกผู้ใช้บริการเว็บไซต์ว่าเป็นเว็บไซต์ที่ได้รับการรับรอง เพื่อลอบส่งมัลแวร์เข้าเครื่องคอมพิวเตอร์โดยที่ผู้ใช้ไม่รู้ตัว

malware_1

ลอบส่งมัลแวร์ผ่านลิงค์โฆษณา

นักวิจัยด้านความปลอดภัยจาก Trend Micro ระบุว่า แฮ็คเกอร์ได้ทำการแทรกซึมเข้าไปในเว็บไซต์ปกติเว็บไซต์หนึ่ง แล้วทำการสร้าง Subdomain ขึ้นมาใหม่ที่จะเชื่อมโยงผู้ใช้ไปสู่เซิฟเวอร์ที่อยู่ภายใต้การควบคุมของแฮ็คเกอร์ เมื่อผู้ใช้หลงเข้ามาใน Subdomain ดังกล่าว บนหน้าเว็บไซต์จะแสดงลิงค์โฆษณาที่จะนำผู้ใช้เข้าไปสู่ไซต์ที่ติดตั้ง Angler Exploit Kit ซึ่งพร้อมที่จะลอบติดตั้งมัลแวร์ลงบนเครื่องของผู้ใช้ทันทีที่ผู้ใช้เผลอกด

ใช้ Certificate จาก Let’s Encrypt เพื่อเพิ่มความน่าเชื่อถือ

Malvertising รูปแบบนี้ก็เหมือนแคมเปญทั่วๆไปที่แฮ็คเกอร์ใช้กันมานาน แต่ต่างกันตรงที่ว่า Subdomain ดังกล่าวมีการใช้ SSL/TLS Certificate ที่เข้ารหัสทราฟฟิคระหว่างเครื่องเซิฟเวอร์และเครื่องผู้ใช้ ซึ่ง Certificate ดังกล่าวออกโดย Let’s Encrypt โปรเจ็คท์ที่ให้บริการ Digital Certificate ฟรี เพื่อผลักดันให้เจ้าของเว็บไซต์หันมาใช้เว็บไซต์แบบ HTTPS เพื่อเพิ่มความปลอดภัยมากยิ่งขึ้น

lets_encrypt

HTTPS ไม่ได้หมายความว่าข้างในจะปลอดภัย

แฮ็คเกอร์คงทราบดีว่า ปัจจุบันนี้ผู้ใช้เริ่มตระหนักถึงความปลอดภัยบนโลกอินเทอร์เน็ต จึงมีการระมัดระวังในการเข้าถึงเว็บไซต์ที่ไม่ใช่ HTTPS ในทางกลับกัน กลายเป็นว่าเมื่อผู้ใช้เห็นว่าตนเองกำลังเล่นเน็ตผ่าน HTTPS ก็จะเชื่อสนิททันทีว่าเว็บไซต์นั้นๆต้องปลอดภัยอย่างแน่นอน แฮ็คเกอร์จึงอาศัยช่องโหว่ตรงจุดนี้ในการโจมตีผู้ใช้ นอกจากนี้ การเข้ารหัสทราฟฟิคยังช่วยปิดบังมัลแวร์จากระบบรักษาความปลอดภัยได้เป็นอย่างดีอีกด้วย

ไม่มีนโยบายการเพิกถอน Certificate

โดยปกติแล้ว CA สามารถเพิกถอน Certificate ได้ในกรณีที่ค้นพบว่าเว็บไซต์ที่ขอ Certificate ไปเป็นเว็บไซต์อันตราย อย่างไรก็ตาม ทาง Let’s Encrypt กลับไม่มีนโยบายในการเพิกถอน Certificate (ดูคำอธิบายของ Let’s Encrypt ได้ที่นี่) แต่ Let’s Encrypt จะใช้วิธีการตรวจสอบเว็บไซต์จาก Google’s Safe Browsing API ว่าเว็บไซต์ดังกล่าวเป็นเว็บ Phishing หรือมีมัลแวร์แฝงอยู่หรือไม่แทน ถ้าเป็นเว็บไซต์อันตรายก็จะไม่ทำการออก Certificate ให้

อย่างไรก็ตาม ต่อให้ CA เพิกถอน Certificate ไป แฮ็คเกอร์ก็สามารถเปลี่ยนโดเมนแล้วทำการร้องขอ Certificate ใหม่เพื่อโจมตีผู้ใช้ต่อได้ทันที Trend Micro จึงแนะนำผู้ให้บริการโฆษณาออนไลน์มีระบบตรวจสอบภายใน เพื่อป้องกันไม่ให้แฮ็คเกอร์ใช้ช่องทางโฆษณาในการแฝงมัลแวร์เข้าสู่เครื่องผู้ใช้

ที่มา: http://www.networkworld.com/article/3019898/malvertising-campaign-used-a-free-certificate-from-lets-encrypt.html



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

เหตุ Ransomware ในโรงพยาบาลในเยอรมนีอาจเกี่ยวข้องกับการเสียชีวิตของผู้ป่วย

ทางการเยอรมนีกำลังตรวจสอบเหตุผู้ป่วยเสียชีวิตหลังจากที่โรงพยาบาลแห่งหนึ่งในเมือง Dusseldorf ถูกโจมตีด้วย Ransomware เมื่อสัปดาห์ที่ผ่านมา

4 Session ห้ามพลาดกับ VMware Blockchain ในงาน VMworld 2020 พร้อมลุ้นรับ iPad และของรางวัลอีกมากมาย วันที่ 30 ก.ย. – 1 ต.ค. 2020

ในงาน VMworld 2020 ที่กำลังจะจัดขึ้นในวันที่ 30 ก.ย. - 1 ต.ค. 2020 นี้ ทาง VMware มี Session แยกเฉพาะสำหรับเทคโนโลยี Enterprise Blockchain เพื่อให้ผู้ที่สนใจได้เข้าไปเรียนรู้และทำแล็บกันฟรีๆ พร้อมลุ้นรับ iPad และของรางวัลอีกมากมายได้ง่ายๆ จากชุมชน VMUG Thailand โดยมีรายละเอียดการลงทะเบียนเข้าร่วมงานและทำแล็บดังนี้