กลายเป็นดาบ 2 คม เมื่อแฮ็คเกอร์ซ่อนมัลแวร์ไว้ใน Let’s Encrypt Certificate

trend_micro_logo_h50

Trend Micro ผู้ให้บริการโซลูชันด้านความปลอดภัยชื่อดังของโลก ได้ออกมาเปิดเผยถึง Malvertising แคมเปญใหม่ ที่ใช้ Certificate ฟรีจาก Let’s Encrypt ในการหลอกผู้ใช้บริการเว็บไซต์ว่าเป็นเว็บไซต์ที่ได้รับการรับรอง เพื่อลอบส่งมัลแวร์เข้าเครื่องคอมพิวเตอร์โดยที่ผู้ใช้ไม่รู้ตัว

malware_1

ลอบส่งมัลแวร์ผ่านลิงค์โฆษณา

นักวิจัยด้านความปลอดภัยจาก Trend Micro ระบุว่า แฮ็คเกอร์ได้ทำการแทรกซึมเข้าไปในเว็บไซต์ปกติเว็บไซต์หนึ่ง แล้วทำการสร้าง Subdomain ขึ้นมาใหม่ที่จะเชื่อมโยงผู้ใช้ไปสู่เซิฟเวอร์ที่อยู่ภายใต้การควบคุมของแฮ็คเกอร์ เมื่อผู้ใช้หลงเข้ามาใน Subdomain ดังกล่าว บนหน้าเว็บไซต์จะแสดงลิงค์โฆษณาที่จะนำผู้ใช้เข้าไปสู่ไซต์ที่ติดตั้ง Angler Exploit Kit ซึ่งพร้อมที่จะลอบติดตั้งมัลแวร์ลงบนเครื่องของผู้ใช้ทันทีที่ผู้ใช้เผลอกด

ใช้ Certificate จาก Let’s Encrypt เพื่อเพิ่มความน่าเชื่อถือ

Malvertising รูปแบบนี้ก็เหมือนแคมเปญทั่วๆไปที่แฮ็คเกอร์ใช้กันมานาน แต่ต่างกันตรงที่ว่า Subdomain ดังกล่าวมีการใช้ SSL/TLS Certificate ที่เข้ารหัสทราฟฟิคระหว่างเครื่องเซิฟเวอร์และเครื่องผู้ใช้ ซึ่ง Certificate ดังกล่าวออกโดย Let’s Encrypt โปรเจ็คท์ที่ให้บริการ Digital Certificate ฟรี เพื่อผลักดันให้เจ้าของเว็บไซต์หันมาใช้เว็บไซต์แบบ HTTPS เพื่อเพิ่มความปลอดภัยมากยิ่งขึ้น

lets_encrypt

HTTPS ไม่ได้หมายความว่าข้างในจะปลอดภัย

แฮ็คเกอร์คงทราบดีว่า ปัจจุบันนี้ผู้ใช้เริ่มตระหนักถึงความปลอดภัยบนโลกอินเทอร์เน็ต จึงมีการระมัดระวังในการเข้าถึงเว็บไซต์ที่ไม่ใช่ HTTPS ในทางกลับกัน กลายเป็นว่าเมื่อผู้ใช้เห็นว่าตนเองกำลังเล่นเน็ตผ่าน HTTPS ก็จะเชื่อสนิททันทีว่าเว็บไซต์นั้นๆต้องปลอดภัยอย่างแน่นอน แฮ็คเกอร์จึงอาศัยช่องโหว่ตรงจุดนี้ในการโจมตีผู้ใช้ นอกจากนี้ การเข้ารหัสทราฟฟิคยังช่วยปิดบังมัลแวร์จากระบบรักษาความปลอดภัยได้เป็นอย่างดีอีกด้วย

ไม่มีนโยบายการเพิกถอน Certificate

โดยปกติแล้ว CA สามารถเพิกถอน Certificate ได้ในกรณีที่ค้นพบว่าเว็บไซต์ที่ขอ Certificate ไปเป็นเว็บไซต์อันตราย อย่างไรก็ตาม ทาง Let’s Encrypt กลับไม่มีนโยบายในการเพิกถอน Certificate (ดูคำอธิบายของ Let’s Encrypt ได้ที่นี่) แต่ Let’s Encrypt จะใช้วิธีการตรวจสอบเว็บไซต์จาก Google’s Safe Browsing API ว่าเว็บไซต์ดังกล่าวเป็นเว็บ Phishing หรือมีมัลแวร์แฝงอยู่หรือไม่แทน ถ้าเป็นเว็บไซต์อันตรายก็จะไม่ทำการออก Certificate ให้

อย่างไรก็ตาม ต่อให้ CA เพิกถอน Certificate ไป แฮ็คเกอร์ก็สามารถเปลี่ยนโดเมนแล้วทำการร้องขอ Certificate ใหม่เพื่อโจมตีผู้ใช้ต่อได้ทันที Trend Micro จึงแนะนำผู้ให้บริการโฆษณาออนไลน์มีระบบตรวจสอบภายใน เพื่อป้องกันไม่ให้แฮ็คเกอร์ใช้ช่องทางโฆษณาในการแฝงมัลแวร์เข้าสู่เครื่องผู้ใช้

ที่มา: http://www.networkworld.com/article/3019898/malvertising-campaign-used-a-free-certificate-from-lets-encrypt.html

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Tuskira เปิดตัวพร้อมทุน 28.5 ล้านดอลลาร์ ยกระดับความมั่นคงปลอดภัยไซเบอร์ด้วย AI

สตาร์ทอัพด้านการตรวจจับภัยคุกคาม Tuskira เปิดตัวพร้อมระดมทุน 28.5 ล้านดอลลาร์จากกลุ่มนักลงทุนที่นำโดย Intel Capital และ SYN Ventures มุ่งเร่งนวัตกรรม AI การผสานระบบ และยกระดับการรักษาความมั่นคงปลอดภัยไซเบอร์ขององค์กรด้วยกลยุทธ์เชิงรุกที่รวมเครื่องมือเข้าด้วยกันและลดความเสี่ยงแบบเรียลไทม์

รู้จัก Nova – โมเดล Gen AI แบบ Multimodal ตระกูลใหม่จาก Amazon

Amazon Web Services (AWS) แผนกคลาวด์ของ Amazon.com ได้ประกาศเปิดตัวโมเดล Gen AI แบบ Multimodal ตระกูลใหม่ภายใต้ชื่อ Nova ในงาน AWS …