โปรดอัพเดตเบราว์เซอร์

เบราว์เซอร์ที่คุณใช้เป็นเวอร์ชันเก่าซึ่งไม่สามารถใช้บริการของเราได้ เราขอแนะนำให้อัพเดตเบราว์เซอร์เพื่อการใช้งานที่ดีที่สุด

แฮกเกอร์ไล่ยึดเว็บไซต์ ทำ SEO สายมืด เพื่อแพร่กระจายมัลแวร์ Gootloader

Thaiware

อัพเดต 28 ม.ค. 2568 เวลา 10.00 น. • เผยแพร่ 28 ม.ค. 2568 เวลา 10.00 น. • Sarun_ss777
แฮกเกอร์ใช้เทคนิค SEO สายมืดอย่างเช่น คอนเทนต์ปลอม, สั่งส่งข้อมูลเข้า Google ดันเว็บไซต์ที่ฝัง Gootloader ไว้

การใช้เทคนิค Search Engine Optimization หรือ SEO นั้นสามารถใช้งานได้ทั้งในการดันเว็บไซต์ที่ทำธุรกิจตามปกติให้ขึ้นหน้าแรก หรือใช้ในทางลบในการดันเว็บอันตรายขึ้นได้เช่นเดียวกัน ดังเช่นในข่าวนี้

จากรายงานโดยเว็บไซต์ Cyber Security News ได้รายงานถึงการที่กลุ่มแฮกเกอร์ที่กำลังทำการแพร่กระจายมัลแวร์ Gootloader ได้มีความพยายามที่จะทำการแพร่กระจายมัลแวร์ดังกล่าวผ่านทางเว็บไซต์ที่กลุ่มแฮกเกอร์แพร่มาได้ โดยมุ่งหวังที่จะให้เกิดการแพร่กระจายในวงกว้าง ซึ่งการตรวจพบปฏิบัติการของแฮกเกอร์กลุ่มดังกล่าวนั้นเป็นผลงานของทีมวิจัยจากบริษัท Sophos ซึ่งเป็นบริษัทที่พัฒนา และจัดจำหน่ายซอฟต์แวร์รักษาความปลอดภัยไซเบอร์ในระดับองค์กร

ซึ่งทางทีมวิจัยได้ระบุว่า กลุ่มแฮกเกอร์นั้นได้มุ่งเน้นไปยังกลุ่มเว็บไซต์ที่สร้างขึ้นบน Wordpress เป็นหลัก โดยหลังจากที่ทำการยึดเว็บไซต์ได้แล้ว ทางกลุ่มจะทำการดัดแปลงเว็บไซต์ด้วยวิธีการที่หลากหลาย อย่างเช่น

  • ฝังโค้ด PHP ไว้บนเว็บไซต์เพื่อใช้ในการสื่อสารกับเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control) ที่มีชื่อว่า Mothership โดยในการติดต่อการเซิร์ฟเวอร์ C2 นั้นมีการเข้ารหัสในระดับ base-64 ไว้เพื่อความปลอดภัยอีกด้วย
  • ฝังโค้ดไว้บน Plugin ของ Wordpress ที่มีชื่อว่า Hello Dolly เพื่อให้ตัวมัลแวร์สามารถคงอยู่บนตัวระบบและทำงานได้ตลอดเวลา (Persistence)
  • ใช้ประโยชน์จากฐานข้อมูล (Database) ของ Wordpress ที่มีชื่อว่า backupdb_wp_lstat เพื่อสกัดกั้นการเข้าถึงเว็บไซต์โดย IP ที่อยู่ในขอบเขตที่กำหนด (Range) ไม่ให้เข้าถึงเว็บไซต์ได้มากสุดถึง 24 ชั่วโมง
  • นอกจากนั้นยังมีการแทรก JavaScript สำหรับการตีรวนการตรวจจับ (Obfuscation) ไว้ในส่วนโค้ดของมัลแวร์

โดยสำหรับในส่วนของการผลักดันเว็บไซต์ดังกล่าวให้ขึ้นหน้าแรกของการค้นหาเพื่อให้เข้าถึงกลุ่มเป้าหมายนั้น ทางกลุ่มแฮกเกอร์ก็ได้มีการใช้เทคนิคที่เรียกได้ว่า การทำ SEO สายดำ หรือ Blackhat SEO ด้วยการใช้สารพัดเทคนิคพิเศษ ไม่ว่าจะเป็น

  • การฝังชุดคำสำหรับใช้การค้นหา หรือ Keywords ไว้ในส่วนต่าง ๆ (Elements) บนเว็บไซต์เพื่อที่จะกระตุ้นให้เกิดการค้นหาแล้วพบเว็บไซต์ได้ง่าย
  • สร้างเว็บบอร์ด (Forum) ไว้บนเว็บไซต์ แล้วตั้งกระทู้ที่ทั้งหัวกระทู้ และบทสนทนาภายในตรงกับชุดคำที่ผู้คนมักใช้ค้นหาบ่อย ๆ (Search Queries)
  • ใช้เทคนิคต่าง ๆ ในการจัดการส่วนของฐานข้อมูลบนเว็บไซต์ Wordpress เพื่อให้ส่งข้อมูลคอนเทนต์อันตราย (เช่น คอนเทนต์ที่มีมัลแวร์ที่กล่าวไว้ข้างต้น) ไปยัง Search Engine รายต่าง ๆ

แฮกเกอร์ไล่ยึดเว็บไซต์ ทำ SEO สายมืด เพื่อแพร่กระจายมัลแวร์ Gootloader


ภาพจาก : https://cybersecuritynews.com/gootloader-malware-employs-blackhat-seo-techniques/

ซึ่งเทคนิคเหล่านี้เรียกได้ว่าเป็นส่วนหนึ่งที่แฮกเกอร์ได้นำเอาเข้ามาใช้งานเพื่อผลักดันเว็บไซต์ที่ถูกยึดมาได้ขึ้นไปสู่หน้าแรกบน Search Engine เท่านั้น นอกจากนั้นแล้ว ทางทีมเว็บไซต์ยังได้เปิดเผยอีกว่า เว็บไซต์ที่ปนเปื้อนมัลแวร์ไม่จำเป็นต้องเป็นเพียงแค่เว็บไซต์ปลอมที่แฮกเกอร์สร้างขึ้นมาโดยเฉพาะเท่านั้น เนื่องจากหลายเว็บไซต์ที่ถูกสร้างมาเพื่อจุดประสงค์เชิงบวก หรือเพื่อทำธุรกิจจริง ๆ หลายเว็บไซต์ก็ได้ถูกแฮกเกอร์ทำการยึดไปใช้เช่นเดียวกัน อย่างเช่น my-game[.]biz เดิมนั้นเคยเป็นเว็บไซต์ของทีมงานของทางวิดีโอเกมส์ Counter Strike ในประเทศเยอรมนี แต่ในภายหลังก็ได้ถูกแฮกเกอร์ยึดไปใช้เพื่อแพร่กระจายมัลแวร์ Gootkit (Gootloader) ไปแทน

นอกจากนั้น ทางทีมวิจัยยังได้เผยแพร่รายละเอียดของโค้ด JavaScript ที่อยู่บนมัลแวร์ Gootloader เพื่อให้นักพัฒนาเว็บไซต์ใช้ในการตรวจสอบเว็บไซต์ของตนว่ามีการติดมัลแวร์ดังกล่าวหรือไม่ ซึ่งลักษณะของตัวสคริปท์นั้นมีดังนี้

rule gootkit_js_stage1

{

strings:

$a1 = /function .{4,60}{return .{1,20} % .{0,8}(.{1,20}+.{1,20});}/

$a2 = /function [w]{1,14}(.{1,14},.{1,50}) {return .{1,14}.substr(.{1,10},.{1,10});}/

$a3 = /function [w]{1,14}(.{1,50}) {return .{1,14}.length;.{1,4}}/

$a4 = /function [w]{1,14}(.{0,40}){.{0,40};while ([w]{1,20} < [23][d]{3}) {/

$b1 = /;WScript.Sleep([d]{4,10});/

$b2 = /function [w]{1,14}(.{0,40}) {.{0,40};while([w]{1,20}<([w]{1,14}*[d]{4,10}) {/

condition:

3 of ($a) and 1 of ($b)

}

➤ Website : https://www.thaiware.com
➤ Facebook : https://www.facebook.com/thaiware
➤ Twitter : https://www.twitter.com/thaiware
➤ YouTube : https://www.youtube.com/thaiwaretv

ดูข่าวต้นฉบับ
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...