IT NEWS

เตือนภัย! เว็บไซต์สำนักข่าวหลายแห่งในไทยถูกเจาะ ฝังโทรจันหลอกขโมยเงิน

เมื่อวันที่ 12 มิถุนายน 2556 ทีมไทยเซิร์ตได้พบว่าเว็บไซต์ของสำนักข่าวหลายแห่งในประเทศไทยได้ถูกเจาะระบบเพื่อฝังโทรจันที่โจมตีผ่านช่องโหว่ของ Java ดังรูปที่ 1 ซึ่งโทรจันนี้สามารถถูกติดตั้งลงในเครื่องคอมพิวเตอร์ของผู้ใช้ได้ในทันทีที่เข้าเว็บไซต์ดังกล่าว (Drive-by-Download)

หากใช้ Firefoxหรือ Google Chrome เข้าเว็บดังกล่าวก็จะเจอกับข้อความเตือนว่าเว็บไซต์อันตรายต่อคอมพิวเตอร์ของเรา เชื่อว่าตอนนี้มีกลุ่ม Hacker ที่เป็นมืออาชีพกำลังโจมตีผู้ใช้ Internet Banking โจมตีผ่านช่องโหว่ของ Java โทรจันตัวนี้จะไปแก้ไขหน้าเว็บไซต์ของธนาคารออนไลน์ในไทย โดยแสดงลิงก์สำหรับใส่เบอร์มือถือเพื่อรับ SMS เชิญชวนให้ดาวน์โหลดโปรแกรม AVG AntiVirus Mobile Pro สำหรับติดตั้งใน Android ซึ่งเป็รโปรแกรมแอนตี้ไวรัสปลอมและจุดประสงค์ก็เพื่อขโมย SMS OTP จากธนาคารที่ผู้ใช้จะได้รับเมื่อล็อกอินเข้าใช้งานเว็บไซต์ธนาคาร

ผู้ใช้จะสังเกตได้ยากว่าเว็บไซต์ของธนาคารถูกเปลี่ยน เนื่องจากการทำงานของโทรจันจะเข้าไปแก้ไขข้อมูลที่แสดงผลอยู่ในเบราว์เซอร์ ไม่ใช่การสร้างเว็บไซต์ปลอม ทำให้การเชื่อมต่อแบบ HTTPS และข้อมูลใบรับรองดิจิทัล (Digital Certificate) ที่แสดงอยู่ในเว็บไซต์ เป็นใบรับรองฯ จริงของธนาคาร

ทางไทยเซิร์ตได้ติดต่อไปยังผู้ดูแลเว็บไซต์ของสำนักพิมพ์ที่ได้รับผลกระทบ รวมทั้งประสานงานกับหน่วยงาน CERT ในประเทศที่เกี่ยวข้อง เพื่อขอความร่วมมือในการแก้ไขช่องโหว่และปิดเว็บไซต์ที่เผยแพร่โทรจันแล้ว อย่างไรก็ตาม ผู้ที่เข้าใช้งานเว็บไซต์ของสำนักพิมพ์ในตอนที่ถูกเจาะระบบอาจถูกติดตั้งโทรจันลงในเครื่องได้

ผลกระทบ

ผู้ใช้ที่เข้าเว็บไซต์ของสำนักพิมพ์ที่ถูกเจาะระบบเพื่อฝังมัลแวร์ดังกล่าว อาจถูกติดตั้งมัลแวร์ลงในเครื่องคอมพิวเตอร์ และอาจถูกหลอกให้ติดตั้งมัลแวร์ลงในโทรศัพท์มือถือ เพื่อที่ผู้ไม่หวังดีสามารถขโมยเงินจากธนาคารได้

ระบบที่ได้รับผลกระทบ

- ระบบปฏิบัติการ Windows ที่ติดตั้ง Java
- Internet Explorer
- โทรศัพท์มือถือหรือแท็บเล็ตที่ใช้ระบบปฏิบัติการ Android
- ผู้ที่เข้าใช้งานเว็บไซต์สำนักข่าวในประเทศไทยที่ถูกฝังโทรจัน ในวันที่ 12 – 13 มิถุนายน 2556 (หรืออาจรวมถึงช่วงก่อนหน้านั้น)

หมายเหตุ: ข้อมูลเวอร์ชั่นของระบบปฏิบัติการและซอฟต์แวร์ที่ได้รับผลกระทบ อยู่ระหว่างการตรวจสอบ ทางทีมไทยเซิร์ตจะแจ้งให้ทราบต่อไป

ข้อแนะนำในการป้องกันและแก้ไข

วิธีการตรวจสอบ

หลังจากที่ผู้ใช้เข้าใช้งานเว็บไซต์ที่มีโทรจันฝังอยู่ ไฟล์ของโทรจันจะถูกติดตั้งลงในเครื่องคอมพิวเตอร์ และมีการตั้งค่าระบบให้มีการเรียกใช้งานไฟล์ดังกล่าวทุกครั้งที่เปิดเครื่อง

เนื่องจากว่าไฟล์ของโทรจันถูกซ่อนไว้ ในการลบไฟล์ดังกล่าว ผู้ใช้จำเป็นต้องตั้งค่าระบบให้แสดงผลไฟล์และโฟลเดอร์ที่ถูกซ่อน โดยคลิกที่ปุ่ม Organize เลือก Folder and search options คลิกที่แท็บ View แล้วคลิกที่ตัวเลือก Show hidden files, folder, and drives ดังแสดงในรูปที่ 3

จากนั้นให้ตรวจสอบว่ามีไฟล์ตามตัวอย่างรายชื่อด้านล่างอยู่ในเครื่องหรือไม่

- C:\Users\admin\AppData\Local\Temp\fvJcrgR.exe (ชื่อไฟล์สุ่ม ขนาดไฟล์ 64000 bytes)
- C:\Users\admin\AppData\Roaming\KB00695775.exe (ชื่อไฟล์ KB ตามด้วยหมายเลขสุ่ม 8 ตัว)
- C:\Users\admin\AppData\Local\Temp\POSDDA1.tmp
- C:\Users\admin\AppData\Local\Temp\POSDDA1.tmp.BAT
- C:\Users\admin\AppData\Local\Temp\POSDDA1.tmp.BAT

หากพบไฟล์ที่มีลักษณะคล้ายคลึงกันอาจเป็นไปได้ว่าเครื่องคอมพิวเตอร์ที่ใช้งานอยู่ได้ติดโทรจันแล้ว

วิธีการแก้ไข

หากพบว่ามีไฟล์ของโทรจันอยู่ในเครื่อง อาจไม่สามารถลบไฟล์ดังกล่าวได้ด้วยวิธีปกติ เนื่องจากโทรจันกำลังเรียกใช้งานไฟล์ดังกล่าวอยู่ วิธีการลบไฟล์อาจทำได้โดยเข้าไปลบใน Safe mode ซึ่งสามารถทำได้โดยการ Restart เครื่องแล้วกดปุ่ม F8 ก่อนที่หน้าจอจะปรากฏโลโก้ของ Windows

วิธีการเข้า Safe mode ของระบบปฏิบัติการ Windows เวอร์ชั่นต่างๆ มีดังนี้
Windows XP
Windows Vista
Windows 7
Windows 8

วิธีการป้องกัน

1. จากการตรวจสอบพบว่าหากเครื่องคอมพิวเตอร์ที่ติดตั้ง Java 6 เปิดเข้าใช้งานเว็บไซต์ที่มีโทรจันฝังอยู่ โทรจันดังกล่าวจะถูกดาวน์โหลดและถูกเรียกใช้งานที่เครื่องของผู้ใช้โดยทันที

แต่จากการตรวจสอบบนระบบที่ติดตั้ง Java 7 Update 21 ซึ่งเป็นเวอร์ชั่นล่าสุด พบว่าจะมีหน้าจอแจ้งเตือนการใช้งาน Java Applet ที่อาจไม่ปลอดภัย ดังรูปที่ 5 หากผู้ใช้งานคลิกปุ่ม Cancel โทรจันดังกล่าวจะไม่ถูกเรียกใช้งาน

ผู้ใช้สามารถอัพเดท Java ให้เป็นเวอร์ชั่นล่าสุด โดยดาวน์โหลดได้ที่่ http://www.java.com/en/download/

2. ผู้ใช้ควรสังเกตการแจ้งเตือนของเว็บเบราว์เซอร์ ในกรณีที่ได้รับการแจ้งเตือนว่าเว็บไซต์นั้นไม่ปลอดภัย ดังรูปที่ 6 และ 7 ไม่ควรเข้าใช้งานเว็บไซต์นั้น

3. หากเครื่องของผู้ใช้ไม่มีความจำเป็นต้องใช้งาน Java ควรพิจารณาถอนการติดตั้ง Java ออก หรือปิดการทำงานของ Java ในเว็บเบราว์เซอร์  เป็นอย่างน้อย

อย่างไรก็ตาม ในขณะนี้ทางไทยเซิร์ตกำลังอยู่ระหว่างการวิเคราะห์ข้อมูลของโทรจัน และจะอัพเดตข้อมูลที่พบเพิ่มเติมในโอกาสต่อไป

อ้างอิง

1. https://www.thaicert.or.th/papers/general/2012/pa2012ge015.html
2. https://www.thaicert.or.th/alerts/user/2013/al2013us007.html

 

แหล่งที่มา: thaicert