TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
Sucuri ได้ออกมาเปิดเผยถึงการโจมตีที่ถูกพบเป็นจำนวนมากในช่วงนี้บนเว็บไซต์ที่ใช้ WordPress ด้วยการแทรกโค้ด JavaScript แปลกปลอมลงไปยังไฟล์ .js ทั้งหมดเท่าที่จะทำได้ และอัพโหลด Backdoor เพิ่มเอาไว้ในเว็บ เพื่อให้สามารถโจมตีซ้ำต่อเนื่องและอัพเดตโฆษณาได้เรื่อยๆ หลังจากผู้ดูแลเว็บทำการเก็บกวาด .js ให้สะอาดแล้วด้วย
โค้ดที่ถูกแทรกเข้ามานี้จะถูก Encode เอาไว้ให้อ่านไม่ออก แต่ถ้า Decode ออกมาแล้วก็จะพบว่าเป็นการวาง Cookie สำหรับจำ Session ในการแสดงผลโฆษณาลงไปยังเครื่องของผู้ใช้งาน และแทรก iFrame เข้าไปในหน้าเว็บด้วย โดย URL ของ iFrame ที่ชี้ไปนั้นจะมี Pattern ดังนี้
- Third level domains
- Admedia or advertizing in the path part of the URLs (so we called this malware “admedia iframe injection“)
- The same structure of URL parameter, including ad_id which is always the same – Twiue123.
ส่วน Domain ที่เป็นอันตรายมีดังนี้
- poln1uewt1aniwki[.]ws – created on Dec 22, 2015
- findyourwaytotr[.]net – created on Jan 8, 2016
- oduvanchiksawa[.]biz – created on Feb 1, 2016
- malenkiuniger[.]net – created on Feb 1, 2016
ส่วน IP Address ที่มีส่วนใช้ในการโจมตีนั้นถูกวางอยู่บน Digital Ocean ดังนี้ 46.101.84.214, 178.62.37.217, 178.62.37.131, 178.62.90.65
ที่มา: http://www.theregister.co.uk/2016/02/03/wordpress_javascript_malware_attack/
