แฮกเกอร์จีน ฝังมัลแวร์ลงเบราว์เซอร์เหยื่อ
แฮกเกอร์จีน DarkSpectre ฝังมัลแวร์ลงเบราว์เซอร์ เหยื่อกว่า 9 ล้านคน
เว็บเบราว์เซอร์นั้นนอกจากจะเป็นตัวกลางของผู้ใช้งานคอมพิวเตอร์ในการเข้าสู่โลกของอินเทอร์เน็ตมาอย่างยาวนานแล้ว ก็ยังเป็นหนึ่งในเป้าหมายของการโจมตีหลักของแฮกเกอร์เนื่องจากถ้าเข้าถึงเว็บเบราว์เซอร์ได้ ก็จะนำไปสู่การเข้าถึงข้อมูลลับต่าง ๆ ของเหยื่อได้โดยง่าย
จากรายงานโดยเว็บไซต์ Cyber Security News ได้กล่าวถึงการตรวจพบแคมเปญการแพร่กระจายมัลแวร์ผ่านทางส่วนเสริมของเว็บเบราว์เซอร์ หรือ Extension โดยกลุ่มแฮกเกอร์จากประเทศจีน DarkSpectre ซึ่งเป้าหมายนั้นครอบคลุมเว็บเบราว์เซอร์ยอดนิยมถึง 3 ตัว นั่นคือ Chrome, Edge และ Firefox โดยในปัจจุบันนั้นมีการตรวจพบว่ามีเหยื่อจากการโจมตีโดยแคมเปญนี้มากถึง 8,800,000 รายเลยทีเดียว ซึ่งการแพร่กระจายมัลแวร์นั้นไม่ได้มีแค่ตัวเดียว แต่มีการใช้มัลแวร์ถึง 3 ตัว นั่นคือ
ShadyPanda ที่ส่งผลต่อเว็บเบราว์เซอร์ Chrome, Edge, และ Firefox มีผู้ตกเป็นเหยื่อ 5,600,000 ราย
Zoom Stealer ส่งผลต่อเว็บเบราว์เซอร์ Chrome, Edge, และ Firefox มีผู้ตกเป็นเหยื่อ 2,200,000 ราย
GhostPoster ส่งผลต่อเว็บเบราว์เซอร์ Firefox มีผู้ตกเป็นเหยื่อ1,050,000 ราย
ที่สำคัญคือ การโจมตีด้วยมัลแวร์ทั้ง 3 ตัวนั้นไม่ได้เป็นการโจมตีแบบแยกแคมเปญ แต่ทุกอย่างอย�ู่รวมบนแคมเปญเดียวกัน ซึ่งแผนการปล่อยมัลแวร์ทุกตัวนั้นล้วนแต่มีการประสานการทำงานร่วมกันอย่างแนบเนียน เป็นขั้นเป็นตอน ซึ่งทางทีมวิจัยจาก Koi Security บริษัทผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์ได้เผยว่า ทางกลุ่มแฮกเกอร์นั้นได้ทำการวางยาไว้บน Extensions ที่ดูคล้ายกับเป็น Extensions ของแท้ที่ไม่มีพิษมีภัย ให้คนได้ดาวน์โหลดไปติดตั้งใช้งานนานมากกว่า 5 ปี ถึงค่อยทำการหย่อนตัวมัลแวร์ (Payload) ลงสู่เครื่องของเหยื่อ โดยทางทีมวิจัยนั้นได้ตรวจพบความเชื่อมโยงของมัลแวร์ต่าง ๆ ข้างต้นระหว่างทำการวิเคราะห์โครงสร้างพื้นฐานของมัลแวร์ ShadyPanda
ซึ่งในการตรวจสอบโครงสร้างพื้นฐานของมัลแวร์ดังกล่าวนั้น ทางทีมวิจัยพบว่าแฮกเกอร์ได้มีการใช้งาน 2 โดเมน infinitynewtab[.]com และ infinitytab[.]com ซึ่งเป็นโดเมนที่ใช้งานได้จริงและไม่มีพิษภัย ในการจัดการกับฟีเจอร์ของตัว Extension อย่างฟีเจอร์ Weather Widgets และ New Tab Pages ขณะที่โดเมนกลุ่มเดียวกันนี้ก็ได้มีการติดต่อกับโครงสร้างพื้นฐานของมัลแวร์อย่างเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control) ไปในเวลาเดียวกัน ด้วยการจัดการโครงสร้างพื้นฐานอย่างชาญฉลาด แนบเนียน และทำงานร่วมกันได้อย่างไร้รอยต่อนี้เอง นำไปสู่การแพร่กระจายมัลแวร์ทั้ง 3 ตัว ซึ่งทางทีมวิจัยยังพบอีกว่า โครงสร้างพื้นฐานตัวนี้มีความเชื่อมโยงกับ Extensions ที่ทำหน้าที่ในการแพร่กระจายมัลแวร์มากถึง 100 Extensions เลยทีเดียว
เทคนิคในการปล่อยมัลแวร์ที่น่าสนใจที่สุดนั้น ทางทีมวิจัยได้ทำการนิยามเทคนิคดังกล่าวว่าเป็นการวาง “ระเบิดเวลา” ไว้บน Extension ซึ่งตัวระเบิดนั้นจะอยู่ในสภาพนิ่งเฉย (Dormant) เป็นเวลายาวนานก่อนที่จะปล่อย Payload ใส่เครื่องของเหยื่อ โดยได้ยกตัวอย่างเช่น ส่วนเสริมที่มีชื่อว่า “New Tab – Customized Dashboard” จะอยู่เฉย ๆ เป็นเวลา 3 วันหลังจากที่ถูกติดตั้งลงบนเว็บเบราว์เซอร์ก่อนที่จะทำการติดต่อกับเซิร์ฟเวอร์ C2 เพื่อดาวน์โหลด Payload ลงมา ซึ่งจากการตรวจสอบแหล่งดาวน์โหลดส่วนเสริม (Marketplace) พบว่าตัวส่วนเสริมนั้นยังถูกมองว่าเป็นส่วนเสริมของแท้ และรีวิวจากผู้ใช้งานก็ไม่พบสิ่งผิดปกติบนส่วนเสริมแต่อย่างใด นอกจากนั้นในส่วนของการทำงานของส่วนเสริมดังกล่าวนั้น จะเริ่มทำการปล่อยมัลแวร์หลังจากที่ตัวส่วนเสริมถูกตรวจสอบจากระบบรักษาความปลอดภัยบนเครื่องจนครบแล้วเท่านั้น เรียกได้ว่าทั้งซ่อนตัว และทำงานได้อย่างแนบเนียนเป็นอย่างมาก ทั้งยังใช้เทคนิคการหลบเลี่ยงการถูกตรวจจับเพิ่มเติมด้วยการทำงานระหว่างที่ตัวเว็บไซต์ถูกโหลดขึ้นมาเพียง 10% เพื่อให้เครื่องมือตรวจจับนั้น ตรวจจับช่วงเวลาการทำงาน (Routine) ได้ยากยิ่งขึ้น
สำหรับในส่วนของตัว Payload นั้นก็มีการซ่อนตัวเป็นอย่างดีด้วยการแฝงมากับไฟล์รูปแบบสกุล PNG ที่ทำหน้าที่เป็นไฟล์โลโก้ของแอปพลิเคชัน ซึ่งภายในไฟล์นั้นจะมีการซ่อนสคริปท์ในรูปแบบ JavaScript โดยสคริปท์ตัวนั้นจะมีการบรรจุหลายอย่างไว้รวมกันแบบหลายชั้น (Multilayers) เช่น การเข้ารหัสแบบถูกสร้างขึ้นมาโดยเฉพาะ (Custom Encoding), ระบบเข้ารหัสแบบ XOR, และโค้ดพิเศษสำหรับการจัดการกับระบบรักษาความปลอดภัยบนเครื่อง ซึ่งเมื่อถูกรันขึ้นมาก็จะนำไปสู่การดาวน์โหลด JavaScript ขนาด 65 KB อีกตัวหนึ่งลงมาจากเซิร์ฟเวอร์ C2 ที่จะช่วยให้แฮกเกอร์เลือกว่าจะรันอะไรบนเบราว์เซอร์ของเหยื่อโดยที่ไม่ต้องทำการอัปเดตเพิ่มเติมที่อาจนำไปสู่การถูกตรวจสอบโดยระบบรักษาความปลอดภัยซ้ำสอง
#ติดเทรนด์ #Lemon8ฮาวทู #ป้ายยากับlemon8 #lemon8ไดอารี่ #freedomhack
จากประสบการณ์และข้อมูลวิจัยล่าสุด การโจมตีผ่าน Extensions เว็บเบราว์เซอร์ถือเป็นภัยคุกคามที่มีความซับซ้อนและยากจะตรวจจับ เพราะมัลแวร์สามารถซ่อนตัวเป็นส่วนเสริมที่ดูเป็นของแท้และใช้งานทั่วไป เช่น "New Tab – Customized Dashboard" ที่แฝงมัลแวร์ไว้ในรูปแบบ Dormant หรือเฉยๆ เป็นเวลานานก่อนจะเริ่มทำงาน ทำให้ผู้ใช้ไม่สงสัยและยังคงใช้งาน Extensions ดังกล่าวโดยไม่รู้ตัว การฝังมัลแวร์ในรูปแบบนี้ส่งผลกระทบอย่างใหญ่หลวงเพราะเว็บเบราว์เซอร์คือช่องทางสำคัญที่เชื่อมต่อเข้าสู่ข้อมูลส่วนตัวและข้อมูลสำคัญ เช่น ข้อมูลการล็อกอิน บัญชีธนาคาร หรือแม้แต่การเข้าถึงข้อมูลประชุมออนไลน์ที่ถูกขโมยด้วยมัลแวร์ "Zoom Stealer" ในแคมเปญนี้ เทคนิคที่ใช้ ไม่เพียงแต่ใช้การซ่อนสคริปต์ JavaScript หลายชั้นและการเข้ารหัสแบบพิเศษ (Custom Encoding และ XOR) แต่ยังมีการทำงานร่วมกับโดเมนจริง ๆ อย่าง infinitynewtab.com เพื่อควบคุมและหลบเลี่ยงระบบรักษาความปลอดภัยต่าง ๆ ทำให้ผู้ใช้และโปรแกรมป้องกันไวรัสจัดการตรวจจับได้ยากมาก สำหรับผู้ใช้งานเบราว์เซอร์ แนะนำให้ระมัดระวังการติดตั้ง Extensions โดยเลือกติดตั้งเฉพาะจากผู้พัฒนาและแหล่งที่เชื่อถือได้ และควรตรวจสอบรีวิวและจำนวนผู้ใช้อย่างละเอียด รวมทั้งอย่าละเลยการติดตั้งซอฟต์แวร์ป้องกันไวรัสหรือโปรแกรมรักษาความปลอดภัยที่ทันสมัย นอกจากนี้ควรอัปเดตเบราว์เซอร์และ Extensions อย่างสม่ำเสมอเพื่อลดช่องโหว่ที่อาจถูกโจมตี สุดท้าย การติดตามข่าวสารและการแจ้งเตือนจากผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์ เช่น Koi Security หรือ Cyber Security News จะช่วยให้เราอัพเดตและเตรียมพร้อมรับมือกับภัยคุกคามเหล่านี้ได้ดียิ่งขึ้น
