EtherHiding มัลแวร์ Campaign ใหม่ ทำงาน Binance's Smart Chain

ตรวจพบว่า Hacker ใช้งาน Malicious Code โดยใช้ Smart Contract บน Binance Smart Chain (BSC)

Campaign ดังกล่าวถูกตรวจพบเมื่อสองเดือนก่อน มีชื่อ Codename ว่า EtherHiding โดยบริษัท Guardio Labs

Campaign นี้กำลังดำเนินอยู่อย่างต่อเนื่อง ซึ่งใช้ประโยชน์จากเว็บไซต์ประเภท WordPress ที่ถูก Hack และยึดเว็บไซต์ไว้ เพื่อเป็นเว็บไซต์สำหรับหลอกการแจ้งเตือนปลอมๆ ให้แก่ผู้เยี่ยมชมเว็บไซต์เพื่อแจ้งให้อัปเดตเว็บเบราว์เซอร์ก่อนที่จะสามารถเข้าถึงเว็บไซต์ได้ที่ต้องการจะเข้ารับชมได้ ซึ่งท้ายที่สุดแล้วจะเป็นการนำไปสู่การใช้มัลแวร์ขโมยข้อมูล เช่น Amadey, Lumma หรือ RedLine เป็นต้น

นักวิจัยด้านความปลอดภัย Nati Tal และ Oleg Zaytsev กล่าวว่า
"ปกติแล้ววิธีนี้จะมีการใช้งาน Cloudflare Worker เป็นโฮสติ้งในการวางโค้ดหลอกลวงผู้ใช้งาน ซึ่งปัจจุบัน Cloudflare Worker สามารถตรวจจับการกระทำได้และจะทำการปิดกั้นไว้ไม่ให้โค้ดหลอกลวงสามารถทำงานได้ แต่พวกเขา (Hacker) ก็ปรับตัวอย่างรวดเร็วเพื่อใช้ประโยชน์จากทำงานปกติของ Blockchain ที่มีการกระจายตัวของ Node มากมายและไม่เปิดเผยตัวตน ที่สำคัญคือ Blockchain เป็นสาธารณะ"

"Campaign ยากในการตรวจจับและปิดกั้นการเข้าถึงได้ยาก"

เป็นเรื่องที่ไม่น่าแปลกใจที่ Hacker มุ่งเป้าไปที่เว็บไซต์ประเภท WordPress ผ่านปลั๊กอินที่ที่มีช่องโหว่ติดตั้งอยู่ รวมทั้งใช้ประโยชน์จากช่องโหว่ด้านความปลอดภัยที่เปิดเผยออกมาต่อสาธารณะแล้วในปลั๊กอินยอดนิยมเพื่อเข้าถึงและยึดเว็บไซต์ไปใช้ประโยชน์ต่อไปได้ จุดนี้ทำให้สามารถควบคุมเว็บไซต์ได้อย่างสมบูรณ์ตามต้องการ

หลักการทำงานคร่าวๆ ของ EtherHiding มีดังนี้

  1. ทำการยึดและควบคุมเว็บไซต์ประเภท Wordpress และทำการฝัง Code อันตรายไว้ที่หน้าเว็บไซต์
  2. เมื่อผู้ใช้งานเข้าเยี่ยมชมเว็บไซต์ไปยังหน้าที่ Hacker ฝัง Code ไว้ Code จะทำงานทันที
  3. ตัว Code จะทำงานโดยการไป get() Smart Contract บน Binance Smart Chain (BSC) เพื่อดึง Payload ที่ใช้ในการหลอกล่อเหยื่อมาแสดงที่หน้าเว็บไซต์ที่ผู้ใช้งานเข้าใช้งานอยู่
  4. ฝั่งผู้ใช้งานจะเห็นว่ามีการแจ้งเตือนให้อัปเดตเว็บเบราว์เซอร์ก่อนที่จะสามารถเข้าถึงเว็บไซต์ได้ต่อไป
  5. เมื่อผู้ใช้งานกดคลิกเพื่อัปเดตนั้นจะมีการไป Download file Malicious Web Browser update ที่ถูกฝากไว้บน Dropbox มายังคอมพ์พิวเตอร์

คำแนะเพิ่มเติม
สำหรับผู้ดูแลเว็บไซต์

  • การให้บริการเว็บไซต์ควรหมั่นตรวจสอบและอัปเดตซอร์ฟแวร์หรือปลั๊กอินใหม่เป็นเวอร์ชันใหม่ล่าสุดอยู่เสมอ

สำหรับผู้ใช้งานเว็บไซต์ทั่วไป

  • การคลิกหรือ download ไฟล์ใดๆ ควรตระหนักถึงความเสี่ยงที่เราจะได้รับไฟล์ที่เป็นอันตรายอยู่เสมอ
  • การอัปเดตควรใช้งานระบบอัปเดตหรือซอร์ฟแวร์จากผู้ผลิตเท่านั้น

ref: Binance's Smart Chain Exploited in New 'EtherHiding' Malware Campaign

Related Posts

โมดูล Facebook สำหรับ PrestaShop ถูกใช้เพื่อขโมยข้อมูลบัตรเครดิต

แฮกเกอร์ใช้ประโยชน์จากช่องโหว่ในโมดูล Facebook ระดับพรีเมียมสำหรับ PrestaShop ที่ชื่อว่า pkfacebook เพื่อปล่อย Card skimmer บนไซต์ E-commerce ที่มีช่องโหว่ และขโมยข้อมูลบัตรเครดิตการชำระเงิน

Read more

อาชญากรไซเบอร์ใช้ Stack Overflow ในการแพร่กระจาย Malware

นักวิจัยจาก Sonatype นามว่า Ax Sharma พบแพ็กเกจอันตรายของ PyPi ที่เป็นส่วนหนึ่งของแคมเปญที่ผ่านมาชื่อว่า 'Cool package' ตั้งชื่อตามสตริงในข้อมูล Metadata ของแพ็กเกจที่กำหนดเป้าหมายผู้ใช้ Windows เมื่อปีที่แล้ว

Read more

Google ปล่อยแพตช์แก้ไขช่องโหว่ Zero-Day บน Browser Chrome

Google ปล่อยแพตช์แก้ไขช่องโหว่ด้านความปลอดภัยทั้งหมด 9 ช่องโหว่บนเบราว์เซอร์ Chrome รวมถึงช่องโหว่ Zero-Day ที่มีรายงานว่าถูกใช้ในการโจมตีจริงแล้ว

Read more
© 2024 INFINITY. All rights reserved.
Terms of Use
Privacy Policy