อีกแล้ว ! พบมัลแวร์ซ่อนบนหน้า Check Out ของเว็บที่สร้างบน WordPress กรอกบัตรปุ๊บ โดนขโมยทันที

การลักลอบขโมยบัตรเครดิตจากเว็บขายของออนไลน์ หรือ Ecommerce นั้น ไม่ใช่เรื่องใหม่ แต่ที่น่าตกใจคือ ถึงแม้จะไม่ใช่เรื่องใหม่ แต่กลับมีการสร้างสรรค์วิธีใหม่ ๆ ในการขโมยของแฮกเกอร์ขึ้นมาอย่างต่อเนื่อง

จากรายงานโดยเว็บไซต์ Hackread ได้กล่าวถึงการตรวจพบแคมเปญการโจรกรรมครั้งใหม่ของแฮกเกอร์บนเว็บไซต์ Ecommerce ที่ถูกสร้างขึ้นบน WordPress ซึ่งการตรวจพบครั้งนี้นั้นเป็นผลงานของทีมวิจัย Wordfence Threat Intelligence Team ซึ่งเป็นหน่วยงานย่อยของ Wordfence บริษัทผู้พัฒนาปลั๊กอิน (Plug In) ด้านความปลอดภัยบนเว็บไซต์ WordPress โดยแคมเปญนี้จะเป็นการใช้มัลแวร์ที่ปลอมตัวเป็นปลั๊กอิน มาใช้ในการทำการครั้งนี้

ทางทีมวิจัยได้เปิดเผยการตรวจพบในครั้งนี้ว่า แคมเปญดังกล่าวนั้นไม่ใช่ของใหม่ แต่กลับเริ่มต้นมาตั้งแต่ปี ค.ศ. 2023 (พ.ศ. 2565) แล้ว โดยมีปลั๊กอินที่เกี่ยวข้องกับแคมเปญดังกล่าวมากกว่า 20 ตัวด้วยกัน ซึ่งทุกตัวนั้นมีจุดร่วมกันที่ ทุกตัวล้วนแต่มีระบบการป้องกันการถูกตรวจจับ (Anti-Detection) และระบบป้องกันการถูกวิเคราะห์ (Anti-Analysis) ที่ค่อนข้างแน่นหนา

ซึ่งวิธีป้องกันดังกล่าวนั้น ทางทีมได้ยกตัวอย่างที่น่าสนใจมาวิธีหนึ่งคือ ตัวมัลแวร์นั้นจะเลี่ยงที่จะรันบนหน้าเพจสำหรับผู้ดูแลระบบ (Administrator Page) เพื่อซ่อนตัวเองจากผู้ดูแลระบบ โดยตัวมัลแวร์จะทำงานเฉพาะบนหน้า Check Out เท่านั้น ซึ่งบนเวอร์ชันใหม่ ๆ นั้นนอกจากการแอบซ่อนเพื่อดักจับข้อมูลแบบเดิม ๆ แล้ว บางรุ่นยังมีการเพิ่มวิธีใหม่ที่ร้ายกาจกว่าขึ้นมา เช่น การเพิ่มแบบฟอร์มกรอกบัตรปลอมเพื่อดักเก็บข้อมูลโดยตรง พร้อมหน้าตรวจสอบความปลอดภัยของ Cloudflare (ปลอม) เพื่อหลอกลวงผู้ใช้งานอีกด้วย

นอกจากการขโมยข้อมูลบัตรเครดิตแล้ว ปลั๊กอินหลายตัวยังมีความสามารถที่นอกเหนือไปจากนั้น เช่น บางตัวมีความสามารถใช้การแสดงผลโฆษณา Google Ads ปลอมให้กับผู้ใช้งานเว็บไซต์ผ่านทางโทรศัพท์มือถือ ขณะที่บางตัวนั้นมีความสามารถในการขโมยรหัสสำหรับเข้าใช้งาน WordPress และบางตัวยังมีความสามารถในการเปลี่ยนลิงก์ที่ถูกวางไว้บนตัวเว็บไซต์ ให้เป็นลิงก์ที่พาผู้ใช้งานที่เผลอกดไปยังเว็บไซต์อันตรายอีกด้วย

ทางทีมวิจัยยังได้ยกตัวอย่างหนึ่งการตรวจพบที่สำคัญ อย่าง การตรวจพบปลั๊กอิน WordPress Core ที่ดูเผิน ๆ เหมือนจะไม่มีพิษมีภัย แต่แท้ที่จริงแล้วมีการฝังโค้ด JavaScript สำหรับการอ่านข้อมูล (Skimming) บัตรเครดิตที่ถูกกรอก และโค้ด PHP Script เพื่อดึงข้อมูลที่ถูกขโมยจากเว็บไซต์กลับไปยังแฮกเกอร์ที่ใช้งานได้โดยตรง ซึ่งปลั๊กอินดังกล่าวนั้นมีการใช้ฟีเจอร์ของระบบ Ecommerce ยอดนิยมอย่าง WooCommerce ในการซ่อนข้อมูลที่อยู่ขโมยภายในระบบจัดการของ WordPress เพื่อป้องกันการถูกตรวจพบ ด้วยการซ่อนไว้ในส่วนข้อความ (Message)

ภาพจาก: https://hackread.com/wordpress-malware-checkout-pages-imitates-cloudflare/

ในส่วนของการป้องกันนั้น ทางทีมวิจัยได้แนะนำว่า ผู้ดูแลระบบต้องทำการสังเกตการณ์การทำงานที่ผิดปกติบนระบบจัดการเว็บไซต์ เช่น การติดต่อระหว่างเว็บไซต์กับโดเมนของแฮกเกอร์ อย่าง api-service-188910982.website and graphiccloudcontent[.]com เป็นต้น นอกจากนั้นอาจมีการพิจารณานำเอาปลั๊กอินของ Wordfence เข้ามาช่วยในการป้องกัน เนื่องจากทาง Wordfence ได้การตรวจจับของมัลแวร์ที่มีคุณลักษณะ (Signature) ดังกล่าวไปแล้วในช่วง พฤษภาคม - มิถุนายน ที่ผ่านมาสำหรับผู้ใช้งานในเวอร์ชันเสียเงิน (Premium) และสำหรับผู้ใช้งานฟรีจะได้รับการคุ้มครองจากมัลแวร์ดังกล่าวได้เร็ว ๆ นี้

➤ Website : https://www.thaiware.com
➤ Facebook : https://www.facebook.com/thaiware
➤ Twitter : https://www.twitter.com/thaiware
➤ YouTube : https://www.youtube.com/thaiwaretv