SSL Malvertising แคมเปญใหม่ พุ่งเป้าเว็บไซต์สำหรับผู้ใหญ่

Malvertising เป็นภัยคุกคามรูปแบบใหม่ที่เริ่มเป็นที่นิยมของแฮ็คเกอร์บางกลุ่ม โดยการแอบแฝงมัลแวร์หรือลิงค์ที่นำไปสู่มัลแวร์ลงบนลิงค์โฆษณาตามเว็บไซต์ต่างๆ ซึ่งเมื่อต้นเดือนสิงหาคมที่ผ่านมา ได้มีการค้นพบ Malvertising แฝงตัวอยู่ในเครือข่ายโฆษณาของ Yahoo ที่มีผู้เข้าถึงมากกว่า 6.9 พันล้านครั้งใน 1 เดือน และล่าสุดนี้ ก็พบการโจมตีรูปแบบเดียวกันบนเว็บไซต์สำหรับผู้ใหญ่ รวมไปถึงเว็บ xHamster.com ที่มีคนเข้าถึงหลายร้อยล้านครั้งใน 1 เดือน

ใช้ IBM Bluemix ในการแพร่มัลแวร์ผ่านการเข้ารหัส SSL

ที่น่าสนใจคือ Malvertising ล่าสุดนี้ ใช้บริการแพลทฟอร์มระบบคลาวด์ของ IBM Bluemix ในการส่งมัลแวร์ที่เข้ารหัสโดย HTTPS เข้าโจมตีที่เครื่องของเหยื่อ รวมทั้งมีการฝังโค้ดไว้ในโฆษณาเพื่อตรวจสอบว่า เหยื่อเป็นผู้ใช้งานจริงและกำลังใช้ Internet Explorer อยู่ นอกจากนี้ยังมีการใช้ช่องโหว่ XMLDOM (CVE-2013-7331) ในการตรวจสอบเครื่องของเหยื่ออีกด้วย เหล่านี้ เพื่อให้มั่นใจได้ว่า ผู้ที่กดเข้าลิงค์โฆษณามาเป็นบุคคลจริง ไม่ใช่บ็อทหรือนักวิจัยด้านความปลอดภัยกำลังทดสอบอยู่ อย่างไรก็ตาม TrafficHaus ผู้ให้บริการโฆษณาที่ถูกใช้ประโยชน์โดยแฮ็คเกอร์ ได้ทราบถึง Malvertising ดังกล่าว และได้ทำการหยุดแพร่โฆษณาเป็นที่เรียบร้อย และทาง Malwarebytes Anti-Exploit เองก็มีการอัพเดทเพื่อป้องกันภัยคุกคามรูปแบบนี้แล้วเช่นเดียวกัน

อัพเดทล่าสุดพบ Malvertising แบบใหม่ลิงค์ไปสู่เว็บเรียกค่าไถ่

2 วันหลังจากที่ค้นพบการโจมตี Malwarebytes ได้ค้นพบ Malvertising อีกรูปแบบหนึ่งที่ลิงค์ไปสู่เว็บไซต์เรียกค่าไถ่ (Browser-based Ransomware) ซึ่ง Malvertising แบบใหม่นี้ยังคงมาจากเว็บ xHamster.com เช่นเดิม หน้าเว็บเรียกค่าไถ่จะหลอกเหยื่อว่าเป็นเว็บของ FBI หรือ Tech Support เพื่อให้เหยื่อหลงเชื่อและโอนเงินมาให้ อย่างไรก็ตาม จากการตรวจสอบพบว่าเว็บไซต์เหล่านั้นไม่ได้มีอันตรายต่อเครื่องคอมพิวเตอร์แต่อย่างใด เพียงแต่จะแสดงหน้า Pop-up น่ารำคาญเพื่อให้เหยื่อปิดหน้าต่างได้ยากเท่านั้น

ที่มา: https://blog.malwarebytes.org/malvertising-2/2015/09/ssl-malvertising-campaign-targets-top-adult-sites/