คนร้ายแฮ็ก WordPress ได้อย่างไร 

8 พ.ย.62 (22:31 น.)
เปิดอ่าน 58 ครั้ง
Wordfence ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยบนแพตฟอร์ม WordPress ได้ออกรายงานถึงพฤติกรรมของกลุ่มคนร้ายที่ชื่อว่า WP-VCP ซึ่งเเป็นกลุ่มแฮ็กเกอร์ที่มีชื่อเสียงโด่งดังในการโจมตีเว็บที่ใช้ WordPress โดยรายงานได้กล่าวถึงวิธีการ การทำกำไรจากเหยื่อ แต่จะเป็นอย่างไรนั้นลองมาตามติดกันครับ

credit : Zdnet

คนนั่นแหละจุดอ่อน
เชื่อไหมว่าแฮ็กเกอร์กลุ่มนี้ไม่ได้ทำอะไรซับซ้อนยากเย็นเลย โดยแฮ็กเกอร์นั้นเพียงเอา Theme หรือ Plugin อันตรายไปปล่อยไว้ในเว็บไซต์ที่ให้ดาวน์โหลดฟรี สำหรับผู้ดูแลเว็บที่ไม่อยากเสียเงินค่าลิขสิทธิ์ก็เข้ามาโหลดไปเอง ซึ่งรายชื่อเว็บที่คนร้ายวางกับดักเอาไว้มีตัวอย่างตามด้านบน แต่หากถามว่าอะไรเป็นแรงผลักดันพบว่าเว็บตัวล่อดังกล่าวเหล่านั้นมีการใช้เทคนิคปั่น SEO ทำให้เมื่อเราลองค้นหาด้วย Google ถึงชื่อคำว่าดาวน์โหลดกับชื่อ Theme หรือ Plugin ยอดนิยมจะปรากฏเว็บเหล่านั้นขึ้นมาเป็นอันดับแรกๆ นั่นเอง

ปฏิบัติการฉับไวและแน่นหนา
หลังจากที่เหยื่อดาวน์โหลด Theme และ Plugin ของคนร้ายมาแล้ว มัลแวร์จะเริ่มปฏิบัติการดังนี้
เพิ่มบัญชี Backdoor ชื่อ 100010010 ให้แต่ละเว็บเพื่อให้แน่ใจว่ามีช่องทางแอบเข้ามาได้อย่างถูกต้อง
กระจายตัวเองไปใน Theme ของทุกเว็บไซต์ ทั้งนี้เพื่อป้องกันว่าเหยื่ออาจจะแค่โหลด Theme มาทดลองเล่นๆ แล้วไม่ใช้จริง แต่ก็สายไปเสียแล้ว
ถ้ามีการใช้งานแบบ Share Hosting มัลแวร์ก็จะกระจายเข้าไปในเซิร์ฟเวอร์เพื่อไปติดเว็บอื่นที่ Host ในระบบเดียวกัน

ทำกำไร
Wordfence พบว่าคนร้ายสามารถสร้างกำไรได้จากฝูง Botnet ที่สามารถเชื่อมต่อกับเซิร์ฟเวอร์ได้ คือการเพิ่ม Keyword และ Backlink กลับไปยังเว็บไซต์แพร่กระจายมัลแวร์อื่นๆ ของตน ทำให้ปรากฏในผลการค้นหาและหลอกเหยื่อรายอื่นได้เพิ่มขึ้น อีกทางหนึ่งคือคนร้ายคือการเพิ่มโฆษณาเข้าไปในเว็บไซต์ที่แทรกซึมได้และ Redirect หรือแสดง Pop-up ที่จะนำพาผู้ชมเข้าไปยังไซต์อันตรายอื่นๆ

สำหรับ WP-VCP นั้นออกปฏิบัติการมาตั้งแต่ปี 2017 แล้ว ที่ปัจจุบันก็ยังมีเหยื่อเพิ่มขึ้นเรื่อยในทุกวัน ทั้งนี้รายงานชี้ว่าต้นเหตุก็มาจากพฤติกรรมของคนเองที่ไม่ระมัดระวังและชอบหาซอฟต์แวร์ละเมิดลิขสิทธิ์มาใช้นั่นเอง แม้ว่านักวิจัยพยายามสืบหาตัวคนร้ายลึกมากขึ้น แต่ก็ไม่สามารถสรุปได้ถึงตัวคนร้ายที่แท้จริง ผู้สนใจสามารถติดตามรายงานฉบับเต็มได้ที่นี่

ที่มา :  https://www.zdnet.com/article/an-inside-look-at-wp-vcd-todays-largest-wordpress-hacking-operation/

Cyber Domain - Royal Thai Air Force

ล่าสุด

ระวังมัลแวร์ Emotet ขโมยรหัสธนาคารออนไลน์ แพร่กระจายผ่าน Wi-Fi
17 ก.พ.63(เมื่อวาน) อ่าน 31 ครั้ง
Microsoft เตือนผู้ดูแล Exchange เร่งปิด SMBv1 ป้องกันมัลแวร์
14 ก.พ.63(5 วัน) อ่าน 33 ครั้ง
สหรัฐฯ เข้าจับแฮ็กเกอร์ชาวจีนกรณีแฮ็ก Equifax
11 ก.พ.63(7 วัน) อ่าน 20 ครั้ง
พบช่องโหว่ WhatsApp สามารถใช้เข้าถึงไฟล์ของระบบได้
8 ก.พ.63(11 วัน) อ่าน 15 ครั้ง
พบ Backdoor ในชิป HiSilicon คาดอุปกรณ์ DVR/NVR จำนวนมากตกอยู่ในความเสี่ยง
8 ก.พ.63(11 วัน) อ่าน 11 ครั้ง
วิธีการป้องกันภัยจากฟิชชิ่ง (Phishing)
6 ก.พ.63(12 วัน) อ่าน 62 ครั้ง
ประกาศบัญชีรายชื่อผู้ผ่านการเลือกสรรพนักงานราชการทั่วไป
5 ก.พ.63(13 วัน) อ่าน 139 ครั้ง
บริษัทความปลอดภัยไซเบอร์ตรวจสอบระบบไอทีสนามบิน 100 แห่ง มีเพียง 3 แห่งที่ผ่านมาตรฐาน
4 ก.พ.63(14 วัน) อ่าน 15 ครั้ง
ทวิตเตอร์พบคนร้ายใช้ API จับคู่เบอร์โทรศัพท์กับชื่อบัญชี
4 ก.พ.63(14 วัน) อ่าน 7 ครั้ง
พบช่องโหว่บน Microsoft Azure Stack เสี่ยงถูกแฮ็กเกอร์เข้าควบคุม Cloud Servers บนนั้นได้
4 ก.พ.63(14 วัน) อ่าน 7 ครั้ง
ระวังภัย พบมัลแวร์แพร่กระจายผ่านอีเมลโดยอ้างชื่อไวรัสโคโรน่า
3 ก.พ.63(15 วัน) อ่าน 13 ครั้ง
พบช่องโหว่บน Plugin Code Snippets บน WordPress แนะผู้ใช้ควรอัปเดต
30 ม.ค.63(19 วัน) อ่าน 13 ครั้ง
เผยกลเม็ด Phishing ใหม่ของคนร้ายกับบริการ Citibank
30 ม.ค.63(19 วัน) อ่าน 21 ครั้ง
เตือน! พบบั๊กทำ Windows 10 บูตไม่ขึ้นใน KB4528760
30 ม.ค.63(19 วัน) อ่าน 17 ครั้ง
Microsoft ออกเตือนช่องโหว่ Zero-day บน Internet Explorer ที่ถูกใช้โจมตีแล้ว
28 ม.ค.63(21 วัน) อ่าน 33 ครั้ง