ในการใช้งานอินเทอร์เน็ตทั่วไป ผู้ใช้งานมักพบกับหน้าจอ DDoS Protection ในการเข้าใช้งานเว็ปไซต์ต่างๆ ซึ่งมันมีหน้าที่สำหรับปกป้องเว็ปไซต์ปลายทางจากการโจมตี เช่น การส่ง Request ปลอมเป็นจำนวนมากที่ทำให้เซิฟเวอร์ล่ม แต่ในปัจจุบัน พบผู้ไม่หวังดีได้ใช้ประโยชน์จากหน้าจอแสดงผลเหล่านี้เพื่อแพร่กระจายมัลแวร์
ลักษณะการทำงาน
- เหตุการณ์นี้ค้นพบโดบผู้เชี่ยวชาญจาก Sucuri ซึ่งพบผู้โจมตีได้ทำการแฮ็กเว็ปไซต์ที่เขียนด้วย WordPress เมื่อทำการแฮ็กได้สำเร็จ ผู้โจมตีจะทำการเพิ่มเพย์โหลด JavaScript ลงไป เพื่อแสดงหน้าจอ Cloudflare DDoS Protection ปลอม
- เมื่อผู้ใช้งานเข้าสู่เว็ปไซต์ที่ถูกแฮ็ก จะพบ Pop-Up ขึ้นมาให้คลิกเพื่อข้ามหน้าจอ DDoS Protection เมื่อคลิกจะเป็นการดาวน์โหลดไฟล์ security_install.iso ซึ่ง Cloudflare ปลอมอ้างว่าเป็นโปรแกรมที่จำเป็นในการใช้งานเว็ปไซต์ โดยจะมีหน้าต่างให้ใส่รหัส ซึ่งตรงนี้ผู้ใช้งานจำเป็นต้องติดตั้งโปรแกรมที่ดาวน์โหลดมาเพื่อรับรหัส
- ข้างในไฟล์ security_install.iso จะพบไฟล์ที่ชื่อ security_install.exe ซึ่งจริงๆแล้วเป็น Shortcut ที่เรียกใช้คำสั่ง PowerShell จากไฟล์ dbug.txt ที่แนบมาด้วย
- หลังจากผู้ใช้งานติดตั้งไฟล์ จะได้รับได้รหัสปลอมๆ มาสำหรับกรอกบนหน้าจอเพื่่อเข้าสู่เว็ปไซต์ แต่ในเบื้องหลังจะเป็นการติดตั้ง NetSupport RAT ซึ่งเป็นโทรจันสำหรับการเข้าถึงจากระยะไกลที่ใช้กันอย่างแพร่หลายในแคมเปญที่เป็นอันตรายในปัจจุบัน
- นอกเหนือจากการติดตั้ง NetSupport RAT แล้ว สคริปต์ที่ทำงานจะดาวน์โหลดโทรจันสำหรับใช้ขโมยรหัสผ่าน Raccoon Stealer มาด้วย ซึ่งจะเปิดใช้งานทันทีหลังติดตั้งเสร็จ
- ในเดือนมิถุนายนที่ผ่านมา Raccoon Stealer ได้ทำการอัพเดทเป็น Verson 2.0 ทำให้มันสามารถขโมยข้อมูลที่เป็นรหัสผ่าน, คุกกี้ และบัตรเครดิตที่บันทึกไว้ในเว็ปเบราว์เซอร์ได้ นอกจากนี้ยังสามารถทำการบันทึกภาพหน้าจอของผู้ใช้งานได้อีกด้วย
แนวทางการป้องกัน
- ผู้ดูแลระบบควรตรวจสอบเว็ปไซต์ของตนอย่างสม่ำเสมอ ว่ามีสคริปต์แปลกปลอมถูกฝังไว้อยู่หรือไม่
- ผู้ใช้งานอินเทอร์เน็ตสามารถป้องกันได้โดยเปิดใช้งานการบล็อก JavaScript บนเบราว์เซอร์ แต่อย่างไรก็ตาม การเปิดใช้งานอาจส่งผลต่อการทำงานของเว็ปไซต์อื่น ๆ เช่นกัน
- ควรตรวจสอบไฟล์เสมอก่อนทำการดาวน์โหลดทุกครั้ง นอกจากนี้ยังไม่พบว่ามีไฟล์ ISO ชนิดใดที่เกี่ยวข้องกับขั้นตอนการตรวจสอบ DDoS Protection
ที่มา : bleepingcomputer
You must be logged in to post a comment.