Cryptojacking Coinhive Miners for the first time found on the Microsoft Store

ผู้เชี่ยวชาญด้านความปลอดภัยจาก Symantec ค้นพบแอพพลิเคชั่นใน Microsoft Store ที่ใช้แพร่กระจายสคริปต์สำหรับขุดบิทคอยน์

แอพพลิเคชั่นที่พบว่ามีการฝัง Coinhive สคริปต์ มีด้วยกัน 8 รายการ ได้แก่ Fast-search Lite, Battery Optimizer (Tutorials), VPN Browsers+, Downloader for YouTube Videos, Clean Master+ (Tutorials), FastTube, Findoo Browser 2019 และ Findoo Mobile & Desktop Search โดยมีการเพิ่มแอพพลิเคชั่นที่เป็นอันตรายใน Microsoft Store ระหว่างเดือนเมษายนถึงธันวาคม ปีที่แล้ว

สคริปต์ที่ใช้สำหรับขุดบิทคอยน์ถูกติดตั้งในแอพพลิเคชั่นผ่าน Google Tag Manager (GTM) library ซึ่งปกติถูกใช้โดยผู้พัฒนา (Developer) เพื่อใส่สคริปต์สำหรับใช้ในการทำ Analytics ทันทีที่มีการเปิดแอพพลิเคชั่น จะมีการเรียกสคริปต์สำหรับขุดบิทคอยน์ผ่าน Google Tag Manager (GTM) และเริ่มใช้ CPU ของคอมพิวเตอร์เพื่อเริ่มต้นการขุด

จากการวิเคราะห์ทราฟฟิกเครือข่ายที่เกี่ยวข้องกับแอพพลิเคชั่นทั้งหมด ทำให้นักวิจัยสามารถระบุได้ว่าเซิร์ฟเวอร์ (C&C) ทั้งหมดมาจากที่เดียวดัน และแอพพลิเคชั่นน่าจะเผยแพร่โดยนักพัฒนาเดียวกันแต่ใช้ชื่อที่แตกต่างกัน

คำแนะนำ
ปรับปรุงซอฟต์แวร์ให้ทันสมัยอยู่เสมอ
อย่าดาวน์โหลดแอพพลิเคชั่นจากเว็บไซต์ที่ไม่น่าเชื่อถือ
ติดตั้งแอพจากแหล่งที่เชื่อถือได้เท่านั้น
ตรวจสอบการร้องขอสิทธิ์เข้าถึงความสามารถเครื่องจากแอพพลิเคชั่นที่ติดตั้ง
สังเกตการใช้งาน CPU และหน่วยความจำ (RAM) ของคอมพิวเตอร์หรืออุปกรณ์ว่าผิดปกติหรือไม่
ติดตั้งแอพความปลอดภัยที่เหมาะสม เพื่อปกป้องอุปกรณ์และข้อมูล
ทำการสำรองข้อมูลที่สำคัญบ่อยครั้ง

ที่มา: securityaffairs

Browsealoud plugin hacked to mine Monero on 4,000 Govt websites

ต้นเหตุเพราะปลั๊กอิน! เว็บหน่วยงานราชการ UK ติด CoinHive กว่า 4,000 เว็บไซต์

เว็บหน่วยงานราชการของอังกฤษตกเป็นเป้าหมายการโจมตีอีกครั้งหลังจากแฮกเกอร์ทำการโจมตีช่องโหว่บนปลั๊กอิน Browsealoud เพื่อฝังสคริปต์สำหรับสร้างผลกำไรในสกุลเงินออนไลน์เสมือนกว่า 4,000 เว็บไซต์

ปลั๊กอินเจ้าปัญหา Browsealoud นั้นเป็นปลั๊กอินที่ช่วยให้ผู้พิการสามารถใช้งานเว็บไซต์ได้ง่ายมากขึ้น ในขณะเดียวกัน Texthelp ซึ่งเป็นผู้ผลิตปลั๊กอินดังกล่าวยืนยันว่าในขณะนี้ปลั๊กอิน Browsealoud กำลังถูกตรวจสอบเพื่อหาปัญหาด้านความปลอดภัยอย่างถี่ถ้วนอีกครั้ง และยืนยันว่าไม่มีการเข้าถึงหรือการขโมยข้อมูลที่เกี่ยวข้องกับผู้ใช้งานใดๆ
Recommendation หากเว็บไซต์ใดมีการใช้งาน Browsealoud อยู่ ทาง Texthelp ได้แนะนำให้ผู้ดูแลเว็บไซต์หรือระบบนำปลั๊กอินออกก่อน จนกว่าจะมีรายละเอียดและแพตช์ด้านความปลอดภัยที่สามารถช่วยลดผลกระทบได้

ที่มา : hackread

Malvertising Campaign Mines Cryptocurrency Right in Your Browser

แจ้งเตือนการโจมตี Cryptojacking ขุดบิทคอยน์ผ่านเว็บไซต์

ESET แจ้งเตือนพฤติกรรมของนักพัฒนามัลแวร์ที่เริ่มมีการใช้งานไลบรารีจาวาสคริปต์เพื่อบังคับให้มีการขุดบิทคอยน์หรือสกุลเงินดิจิตัลอื่นๆ ทันทีที่ผู้ใช้งานเข้าชมเว็บไซต์ ส่งผลกระทบต่อประสิทธิภาพในการใช้งานระบบของผู้ใช้งานโดยตรง

หนึ่งในไลบรารีที่มีการใช้งานอย่างแพร่หลายคือไลบรารีที่ถูกพัฒนาต่อจาก MineCrunch ซึ่งถูกพัฒนามาตั้งแต่ปี 2014 นักพัฒนามัลแวร์มุ่งโจมตีเว็บไซต์ในแถบยูเครนและรัสเซียโดยเฉพาะอย่างยิ่งเว็บไซต์ที่ผู้ใช้งานมักจะใช้งานเป็นเวลานาน เช่น เว็บสตรีมมิ่งหนัง และทำการแฮกเพื่อฝังสคริปต์ดังกล่าวลงไป ESET กล่าวเพิ่มเติมว่าเป้าหมายของอาชญากรเหล่านี้มุ่งเน้นไปที่สกุลเงินที่ติดตามตัวได้ยาก อาทิ Monero หรือ Zcash

นอกเหนือจาก MinChrunch แล้ว ไลบรารีอีกชนิดหนึ่งที่มักมีการนิยมใช้คือ CoinHive นักพัฒนาด้านความปลอดภัย Jerome Dangu ค้นพบว่า ผู้พัฒนามัลแวร์ยังมีการฝังสคริปต์ดังกล่าวไว้ในเว็บไซต์ฟิชชิ่งหรือเว็บไซต์ที่สะกดชื่อผิด (typosquatiing) เพื่อหาประโยชน์ทางอ้อมอีกด้วย

ในขณะนี้ปลั๊กอินในเว็บเบราว์เซอร์หลายรายได้เพิ่มฟีเจอร์ในการบล็อคการโจมตีในลักษณะนี้แล้ว อาทิ AdBlock Plus และ AdGuard รวมไปถึงยังมีการพัฒนาปลั๊กอินในเว็บเบราว์เซอร์ที่ป้องกันการโจมตีในลักษณะนี้โดยเฉพาะอีกด้วย อาทิ AntiMiner, No Coin และ minerBlock แนะนำให้ผู้ใช้งานเพิ่มความระมัดระวังเมื่อเข้าเว็บไซต์ที่มีความเสี่ยงสูง รวมถึงเพิ่มมาตรการป้องกันการโจมตีในลักษณะนี้

ที่มา : BLEEPINGCOMPUTER