แฮกเกอร์แสบใช้ SEO ปั่นเว็บปลอมขึ้นหน้าหนึ่ง มุ่งหลอกแอดมินฝ่าย IT ดาวน์โหลดมัลแวร์
Search Engine Optimization หรือ SEO นั้น เป็นกลยุทธ์ยอดนิยมของเหล่านักการตลาดออนไลน์ที่นำมาใช้ในการผลักดันให้หน้าเว็บไซต์ขึ้นหน้าแรกของการค้นหาผ่าน Search Engine แต่ในขณะเดียวกันแฮกเกอร์ก็ได้นำมาใช้ในการผลักดันเว็บปลอมเพื่อแพร่กระจายมัลแวร์เช่นเดียวกัน
จากรายงานโดยเว็บไซต์ Cyber Security News ได้กล่าวถึงการตรวจพบแคมเปญการโจมตีใหม่ของแฮกเกอร์ที่มุ่งเน้นไปยังกลุ่มผู้ดูแลด้าน IT (IT Administrator) ด้วยการใช้เทคนิคการวางยา SEO (SEO Poisoning) เพื่อผลักดันหน้าเว็บไซต์ปลอมที่ปลอมเหมือนกันเว็บไซต์เครื่องมือด้านการดูแลระบบไอทียอดนิยมหลากหลายตัว ซึ่งจะส่งผลให้เมื่อเหล่าผู้ดูแลที่กำลังค้นหาเครื่องมือที่จำเป็นต้องใช้กับงาน ไปเข้าเว็บไซต์ที่ถูกปลอมเหมือนแทนที่จะเป็นเว็บไซต์จริง นำไปสู่การดาวน์โหลดมัลแวร์ลงมาติดตั้งแทนที่จะเป็นซอฟต์แวร์ของจริงในท้ายที่สุด ซึ่งการตรวจพบดังกล่าวนั้นเป็นผลงานของทีมวิจัยจากบริษัท Varonis MDDR บริษัทผู้เชี่ยวชาญด้านการปกป้องความปลอดภัยของข้อมูล โดยทางทีมวิจัยยังได้เปิดเผยอีกว่า นอกจากการใช้ SEO บนเว็บไซต์ปลอมแล้ว ทางกลุ่มแฮกเกอร์ยังได้มีการฝังสคริปท์เพื่อล่อลวงไว้บนเว็บไซต์ที่มีผู้เข้าชมจำนวนมาก หรือที่เรียกว่าวิธีการโจมตีแบบ “Watering Hole” อีกด้วย
ซึ่งสำหรับตัวซอฟต์แวร์ที่เหยื่อทำการดาวน์โหลดไปนั้น ก็ใช่ว่าจะมีแต่มัลแวร์เสียทีเดียวแต่ยังมีการล่อลวงให้เหยื่อไม่รู้ตัวอีกด้วยเพราะที่เหยื่อดาวน์โหลดมาติดตั้งนั้นจะประกอบด้วยซอฟต์แวร์ของจริง และตัวติดต่อกับเซิร์ฟเวอร์ควบคุมมัลแวร์ (C2 หรือ Command and Control) ผ่านทางช่องทางประตูหลังของระบบ (Backdoor) ทำให้เหยื่อนั้นถูกมัลแวร์เล่นงานขณะที่ทำงานกับซอฟต์แวร์ตัวดังกล่าวอย่างไม่รู้เนื้อรู้ตัว เข้าใจไปว่ากำลังใช้ซอฟต์แวร์ของแท้แบบปกติอยู่
ภาพจาก : https://cybersecuritynews.com/hackers-attacking-it-admins-by-poisoning-seo/
ทางทีมวิจัยได้เปิดเผยตัวอย่างที่ชัดเจนคือ การที่แฮกเกอร์ใช้ SEO ผลักดันเว็บไซต์ปลอมเหมือนเว็บไซต์สำหรับดาวน์โหลดเครื่องมือ RV-Tools ซึ่งเป็นเครื่องมือสำหรับใช้ในการสร้างสภาวะจำลองเพื่อทดสอบ หรือ VM-Ware ยอดนิยมตัวหนึ่งในกลุ่มผู้ทำงานด้านไอที ซึ่งเมื่อเหยื่อหลงเชื่อดาวน์โหลดมาติดตั้ง ระหว่างที่เหยื่อรันเพื่อติดตั้งซอฟต์แวร์ดังกล่าวลงเครื่อง ขณะที่ตัวไฟล์สำหรับรัน (Executable File) ทำการติดตั้งตัวซอฟต์แวร์ ตัวไฟล์ก็จะทำการสร้างฐานเพื่อรับประกันว่ามัลแวร์จะสามารถรันตัวเองบนเครื่องของเหยื่อได้ตลอดเวลา (Persistence) จากนั้นตัวมัลแวร์ก็จะทำการติดตั้งเครื่องมือ Backdoor ที่ชื่อว่า SMOKEDHAM ซึ่งมาในรูปแบบสคริปท์ PowerShell ที่อยู่บนพื้นฐานของ .NET ลงมาติดตั้ง แล้วตัวเครื่องมือนี้เองที่จะทำการตรวจสอบข้อมูลของเครื่องของเหยื่อ เช่น ข้อมูลพื้นฐานเกี่ยวกับระบบของเหยื่อ ผ่านทางการใช้คำสั่งต่าง ๆ บนระบบ หลังจากนั้นข้อมูลดังกล่าวก็จะถูกบันทึกไว้ในโฟลเดอร์ลับเพื่อทำการจัดส่งกลับไปยังเซิร์ฟเวอร์ C2 เพื่อเข้าสู่ขั้นตอนที่แฮกเกอร์จะพิจารณาแล้วทำการฝังมัลแวร์ประเภทเรียกค่าไถ่ หรือ Ransomware ลงบนระบบของเหยื่อ เพื่อทำการจับไฟล์ต่าง ๆ เป็นประกัน แล้วกรรโชกทรัพย์ หรือขโมยไฟล์ในระบบไปขายในตลาดมืดต่อไป
จะเห็นได้ว่าการดาวน์โหลดเครื่องมือมาใช้งานอย่างไม่ระมัดระวัง จะส่งผลให้ความเสียหายสามารถแผ่ขยายไปทั่วทั้งองค์กรได้ ดังนั้นเพื่อความปลอดภัย องค์กรจะต้องมีมาตรการที่แข็งแกร่งในด้านการจัดการกับการติดตั้งเครื่องมือหรือซอฟต์แวร์ต่าง ๆ ลงบนระบบขององค์กร เพื่อที่จะสร้างความมั่นใจว่าทุกตัวที่ติดตั้งนั้นเป็นของแท้ที่ไม่มีมัลแวร์ปลอมปน
➤ Website : https://www.thaiware.com
➤ Facebook : https://www.facebook.com/thaiware
➤ Twitter : https://www.twitter.com/thaiware
➤ YouTube : https://www.youtube.com/thaiwaretv