ไทยเซิร์ต เตือนเว็บสำนักข่าวถูกเจาะฝังโทรจันลวงติดแอนตี้ไวรัสปลอม ผ่านช่องโหว่ของ Java โดยที่โทรจันนี้สามารถถูกติดตั้งลงในเครื่องคอมพิวเตอร์ของผู้ใช้ได้ในทันที ที่เข้าเว็บไซต์ดังกล่าว หากผู้ใช้หลงเชื่อและกรอกข้อมูลลงไป จะมีลิงก์ดาวน์โหลดแอพพลิเคชันของ Android ส่งมาที่โทรศัพท์มือถือ เพื่อหลอกติดตั้งมัลแวร์ลงในโทรศัพท์มือถือแล้วขโมยเงินจากบัญชีในธนาคาร...
เมื่อวันที่ 13 มิ.ย.2556 ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์ประเทศไทย (ไทยเซิร์ต) สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (องค์การมหาชน) ประกาศการแจ้งเตือนภัยคุกคามสำหรับผู้ใช้งานคอมพิวเตอร์ทั่วไป กรณี เว็บไซต์สำนักข่าวหลายแห่งในประเทศไทยถูกเจาะ ฝังโทรจันที่หลอกให้ดาวน์โหลดแอนตี้ไวรัสปลอม
เมื่อวันที่ 12 มิถุนายน 2556 ทีมไทยเซิร์ตได้พบว่าเว็บไซต์ของสำนักข่าวหลายแห่งในประเทศไทยได้ถูกเจาะ ระบบเพื่อฝังโทรจันที่โจมตีผ่านช่องโหว่ของจาวา (Java) ดังรูป ซึ่งโทรจันนี้สามารถถูกติดตั้งลงในเครื่องคอมพิวเตอร์ของผู้ใช้ได้ในทันที ที่เข้าเว็บไซต์ดังกล่าว (Drive-by-Download)
โทรจันจะตรวจสอบการใช้งานเบราวเซอร์ เมื่อพบว่าผู้ใช้ล็อกอินเข้าใช้งานเว็บไซต์ของธนาคารออนไลน์ในประเทศไทย โทรจันจะแทรกหน้าจอสำหรับกรอกข้อมูลหมายเลขโทรศัพท์มือถือ ดังรูปที่ 2 ซึ่งหากผู้ใช้หลงเชื่อและกรอกข้อมูลลงไป จะมี SMS พร้อมลิงก์สำหรับดาวน์โหลดแอพพลิเคชันของแอนดรอยด์ ส่งมาที่โทรศัพท์มือถือ จุดประสงค์ของแอพพลิเคชันดังกล่าวนี้คือดักรับข้อมูล SMS OTP ที่ผู้ใช้จะได้รับเมื่อล็อกอินเข้าใช้งานเว็บไซต์ธนาคาร ตามรายละเอียดที่ไทยเซิร์ตเคยแจ้งเตือนไปก่อนหน้านี้
ผู้ใช้จะสังเกตได้ยากว่าเว็บไซต์ของธนาคารถูกเปลี่ยน เนื่องจากการทำงานของโทรจันจะเข้าไปแก้ไขข้อมูลที่แสดงผลอยู่ในบราวเซอร์ ไม่ใช่การสร้างเว็บไซต์ปลอม ทำให้การเชื่อมต่อแบบ HTTPS และข้อมูลใบรับรองดิจิตอล (Digital Certificate) ที่แสดงอยู่ในเว็บไซต์ เป็นใบรับรองฯ จริงของธนาคาร โดยทางไทยเซิร์ตได้ติดต่อไปยังผู้ดูแลเว็บไซต์ของสำนักพิมพ์ที่ได้รับผลกระทบ รวมทั้งประสานงานกับหน่วยงาน CERT ในประเทศที่เกี่ยวข้อง เพื่อขอความร่วมมือในการแก้ไขช่องโหว่ และปิดเว็บไซต์ที่เผยแพร่โทรจันแล้ว อย่างไรก็ตาม ผู้ที่เข้าใช้งานเว็บไซต์ของสำนักพิมพ์ในตอนที่ถูกเจาะระบบอาจถูกติดตั้งโทรจันลงในเครื่องได้
ผู้ใช้ที่เข้าเว็บไซต์ของสำนักพิมพ์ที่ถูกเจาะระบบเพื่อฝังมัลแวร์ดัง กล่าว อาจถูกติดตั้งมัลแวร์ลงในเครื่องคอมพิวเตอร์ และอาจถูกหลอกให้ติดตั้งมัลแวร์ลงในโทรศัพท์มือถือ เพื่อที่ผู้ไม่หวังดีสามารถขโมยเงินจากธนาคารได้
สำหรับระบบที่ได้รับผลกระทบ
- ระบบปฏิบัติการ Windows ที่ติดตั้ง Java
- Internet Explorer
- โทรศัพท์มือถือหรือแท็บเล็ตที่ใช้ระบบปฏิบัติการ Android
- ผู้ที่เข้าใช้งานเว็บไซต์สำนักข่าวในประเทศไทยที่ถูกฝังโทรจัน ในวันที่ 12 - 13 มิถุนายน 2556 (หรืออาจรวมถึงช่วงก่อนหน้านั้น)
หมายเหตุ: ข้อมูลเวอร์ชั่นของระบบปฏิบัติการและซอฟต์แวร์ที่ได้รับผลกระทบ อยู่ระหว่างการตรวจสอบ ทางทีมไทยเซิร์ตจะแจ้งให้ทราบต่อไป
ข้อแนะนำในการป้องกันและแก้ไข
วิธีการตรวจสอบ
หลังจากที่ผู้ใช้เข้าใช้งานเว็บไซต์ที่มีโทรจันฝังอยู่ ไฟล์ของโทรจันจะถูกติดตั้งลงในเครื่องคอมพิวเตอร์ และมีการตั้งค่าระบบให้มีการเรียกใช้งานไฟล์ดังกล่าวทุกครั้งที่เปิดเครื่อง
เนื่องจากว่าไฟล์ของโทรจันถูกซ่อนไว้ ในการลบไฟล์ดังกล่าว ผู้ใช้จำเป็นต้องตั้งค่าระบบให้แสดงผลไฟล์และโฟลเดอร์ที่ถูกซ่อน โดยคลิกที่ปุ่ม Organize เลือก Folder and search options คลิกที่แท็บ View แล้วคลิกที่ตัวเลือก Show hidden files, folder, and drives ดังแสดง
จากนั้นให้ตรวจสอบว่ามีไฟล์ตามตัวอย่างรายชื่อด้านล่างอยู่ในเครื่องหรือไม่
- C:UsersadminAppDataLocalTempfvJcrgR.exe (ชื่อไฟล์สุ่ม ขนาดไฟล์ 64000 bytes)
- C:UsersadminAppDataRoamingKB00695775.exe (ชื่อไฟล์ KB ตามด้วยหมายเลขสุ่ม 8 ตัว)
- C:UsersadminAppDataLocalTempPOSDDA1.tmp
- C:UsersadminAppDataLocalTempPOSDDA1.tmp.BAT
- C:UsersadminAppDataLocalTempPOSDDA1.tmp.BAT
หากพบไฟล์ที่มีลักษณะคล้ายคลึงกันอาจเป็นไปได้ว่าเครื่องคอมพิวเตอร์ที่ใช้งานอยู่ได้ติดโทรจันแล้ว
วิธีการแก้ไข
หากพบว่ามีไฟล์ของโทรจันอยู่ในเครื่อง อาจไม่สามารถลบไฟล์ดังกล่าวได้ด้วยวิธีปกติ เนื่องจากโทรจันกำลังเรียกใช้งานไฟล์ดังกล่าวอยู่ วิธีการลบไฟล์อาจทำได้โดยเข้าไปลบใน Safe mode ซึ่งสามารถทำได้โดยการ Restart เครื่องแล้วกดปุ่ม F8 ก่อนที่หน้าจอจะปรากฏโลโก้ของ Windows
วิธีการป้องกัน
1. จากการตรวจสอบพบว่าหากเครื่องคอมพิวเตอร์ที่ติดตั้ง Java 6 เปิดเข้าใช้งานเว็บไซต์ที่มีโทรจันฝังอยู่ โทรจันดังกล่าวจะถูกดาวน์โหลดและถูกเรียกใช้งานที่เครื่องของผู้ใช้โดยทันที
แต่จากการตรวจสอบบนระบบที่ติดตั้ง Java 7 Update 21 ซึ่งเป็นเวอร์ชั่นล่าสุด พบว่าจะมีหน้าจอแจ้งเตือนการใช้งาน Java Applet ที่อาจไม่ปลอดภัย ดังรูป หากผู้ใช้งานคลิกปุ่ม Cancel โทรจันดังกล่าวจะไม่ถูกเรียกใช้งาน
ผู้ใช้สามารถอัพเดท Java ให้เป็นเวอร์ชั่นล่าสุด โดยดาวน์โหลดได้ที่่ //www.java.com/en/download/
2. ผู้ใช้ควรสังเกตการแจ้งเตือนของเว็บบราวเซอร์ ในกรณีที่ได้รับการแจ้งเตือนว่าเว็บไซต์นั้นไม่ปลอดภัย ดังรูปที่ 6 และ 7 ไม่ควรเข้าใช้งานเว็บไซต์นั้น
3. หากเครื่องของผู้ใช้ไม่มีความจำเป็นต้องใช้งาน Java ควรพิจารณาถอนการติดตั้ง Java ออก หรือปิดการทำงานของ Java ในเว็บเบราว์เซอร์เป็นอย่างน้อย
อย่างไรก็ตาม ในขณะนี้ทางไทยเซิร์ตกำลังอยู่ระหว่างการวิเคราะห์ข้อมูลของโทรจัน และจะอัพเดตข้อมูลที่พบเพิ่มเติมในโอกาสต่อไป.
ฝากข้อความหลังไมค์
Rss Feed
ผู้ติดตามบล็อก : 96 คน [