Breaking News

Stegano Exploit Kit: ซ่อนพรางโค้ดมัลแวร์ไว้ในพิกเซลรูปภาพ

นักวิจัยจาก ESET ผู้ให้บริการซอฟต์แวร์ Antivirus ชื่อดังออกมาเปิดถึงเทคนิคการซ่อนพรางข้อมูล (Steganography) รูปแบบใหม่ ที่ซ่อนโค้ดอันตรายไว้ในพิกเซลของไฟล์รูปภาพบนแบนเนอร์โฆษณา เสี่ยงถูกลอบส่งมัลแวร์หรือแม้แต่ Ransomware เข้ามาบนเครื่องของผู้ใช้ได้

Credit: McIek/ShutterStock

ซ่อน Malicious Code ไว้ในพิกเซลของรูป PNG

การโจมตีดังกล่าวมีชื่อว่า Stegano ซึ่งตั้งชื่อตามเทคนิค Steganography เป็นภัยคุกคามประเภท Exploit Kit ที่เริ่มปรากฏให้เห็นเมื่อประมาณ 2 เดือนก่อน โดยทำการซ่อน Malicious Code ไว้ในไฟล์รูปภาพ PNG ที่ใช้เป็นแบนเนอร์สำหรับโฆษณาบนเว็บไซต์ชื่อดังทั้งหลาย

แฮ็คเกอร์อาศัยช่องโหว่ที่ว่า แบนเนอร์โฆษณาบนเว็บไซต์ส่วนใหญ่สามารถรันโค้ด JavaScript ได้ จึงได้แนบโค้ด JavaScript สำหรับใช้แปลงไฟล์รูปภาพ โดยอาศัยการดึงข้อมูล Transparency Value ออกมาจากแต่ละพิกเซล แล้วนำไปเข้าสูตรทางคณิตศาสตร์เพื่อแปลงข้อมูลเหล่านั้นให้กลายเป็นตัวอักษร ซึ่งเมื่อรวมอักษรจากหลายๆ พิกเซลเข้าด้วยกันจึงกลายเป็น Malicious Code สำหรับโจมตีผู้ใช้

ภาพด้านล่างแสดงสูตรที่ใช้ดึงข้อมูลออกมาจากพิกเซลของรูปภาพ

พุ่งเป้าที่ผู้ใช้ Internet Explorer

Malicious Code ดังกล่าวจะเปลี่ยนเส้นทางของผู้ใช้ให้ไปยัง URL เซิร์ฟเวอร์กลาง เรียกว่า Gate ทำหน้าที่กรองผู้ใช้ที่ตกเป็นเหยื่อ โดย Gate จะรับการเชื่อมต่อจากผู้ใช้ Internet Explorer เท่านั้น เนื่องจาก Gate จะเจาะช่องโหว่ของผู้ใช้ผ่านทาง CVE-2016-0162 ซึ่งเป็นช่องโหว่ Information Disclosure บน IE เพื่อตรวจสอบว่าการเชื่อมต่อดังกล่าวมาจากผู้ใช้จริงหรือ Reverse Analysis System ที่สร้างขึ้นโดยผู้ดูแลระบบรักษาความมั่นคงปลอดภัย นอกจากนี้ ถ้าพบว่าผู้ใช้มีการรันโปรแกรม Antivirus ก็จะยกเลิกการเชื่อมต่อทันที เพื่อป้องกันโปรแกรม Antivirus ตรวจจับความผิดปกติและแจ้งเตือนผู้ใช้

เจาะระบบของผู้ใช้ผ่านช่องโหว่บน Flash

เมื่อคัดเลือกเหยื่อเสร็จเรียบร้อย Gate จะเปลี่ยนเส้นทางของผู้ใช้ไปยัง URL สุดท้ายที่มี Exploit Kit รออยู่ โดย Stegano Exploit Kit จะใช้ช่องโหว่บน Adobe Flash 3 รายการ คือ CVE-2015-8651, CVE-2016-1019 และ CVE-2016-4117 ในการเจาะระบบคอมพิวเตอร์เพื่อลอบส่งมัลแวร์เข้าไปรันบนเครื่องของผู้ใช้

จากการตรวจสอบพบว่ามัลแวร์ที่ Stegano Exploit Kit ใช้ คือ Ursnif และ Ramnit Banking Trojan แต่ทาง ESET ระบุว่า มันเป็นเรื่องง่ายมากที่แฮ็คเกอร์จะเปลี่ยน Payload ของมัลแวร์สุดท้ายไปเป็นอย่างอื่นที่อันตรายกว่าแทน เช่น Ransomware

ขั้นตอนการโจมตีทั้งหมดนี้ เกิดขึ้นโดยอัตโนมัติและใช้เวลาเพียง 1 – 2 วินาทีเท่านั้น วิธีที่ดีที่สุดในการป้องกันการโจมตีดังกล่าวคือการอัปเดตซอฟต์แวร์ในเครื่องให้ใหม่ล่าสุดอยู่เสมอ และมีการติดตั้งโปรแกรม Antivirus หรือระบบรักษาความมั่นคงปลอดภัยอื่นๆ ที่ช่วยตรวจจับและป้องกันภัยคุกคามก่อนที่จะทำอันตรายระบบคอมพิวเตอร์ เช่น Secure Web Gateway เป็นต้น

ภาพด้านล่างเป็น Infographic สรุปขั้นตอนการโจมตีของ Stegano จาก ESET

ที่มา: https://www.bleepingcomputer.com/news/security/new-stegano-exploit-kit-hides-malvertising-code-in-image-pixels/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

เปิดตัว NetApp EF600 All Flash NVMe Storage รุ่นแรกในตระกูล EF-Series

NetApp ได้ออกมาประกาศเปิดตัว NetApp EF600 ซึ่งเป็น All Flash NVMe EF-Series รุ่นแรก ที่มีประสิทธิภาพสูงสุดถึงระดับ 2 ล้าน IOPS โดยมีความสามารถต่างๆ ที่น่าสนใจดังนี้

Splunk ประกาศเข้าซื้อกิจการ SignalFx ผู้พัฒนาระบบ Monitoring มูลค่า 31,500 ล้านบาท

Splunk ได้ออกมาประกาศถึงแผนการเข้าซื้อกิจการของ SignalFx ผู้พัฒนาโซลูชัน SaaS สำหรับทำ Real-time Monitoring & Metrics สำหรับ Cloud Infrastructure, Microservices และ Application แล้ว โดยมูลค่าการซื้อกิจการครั้งนี้สูงถึง 1,050 ล้านเหรียญ หรือราวๆ 31,500 ล้านบาทเลยทีเดียว