"ไทยเซิร์ต"เตือนเว็บไซต์ข่าวหลายแห่ง "ถูกเจาะฝังโทรจันที่หลอกให้ดาวน์โหลดแอนตี้ไวรัสปลอม"!?

จากมติชนออนไลน์

เว็บไซต์ไทยเซิร์ต (www.thaicert.or.th) ของศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์ประเทศไทย (ไทยเซิร์ต) สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (องค์การมหาชน) ประกาศการแจ้งเตือนภัยคุกคามสำหรับผู้ใช้งานคอมพิวเตอร์ทั่วไป กรณี เว็บไซต์สำนักข่าวหลายแห่งในประเทศไทยถูกเจาะ ฝังโทรจันที่หลอกให้ดาวน์โหลดแอนตี้ไวรัสปลอม โดยมีใจความดังนี้:


เมื่อวันที่ 12 มิถุนายน 2556 ทีมไทยเซิร์ตได้พบว่าเว็บไซต์ของสำนักข่าวหลายแห่งในประเทศไทยได้ถูกเจาะ ระบบเพื่อฝังโทรจันที่โจมตีผ่านช่องโหว่ของจาวา (Java) ดังรูป ซึ่งโทรจันนี้สามารถถูกติดตั้งลงในเครื่องคอมพิวเตอร์ของผู้ใช้ได้ในทันที ที่เข้าเว็บไซต์ดังกล่าว (Drive-by-Download)

โทรจันจะตรวจสอบการใช้งานเบราวเซอร์เมื่อพบว่าผู้ใช้ล็อกอินเข้าใช้งานเว็บไซต์ของธนาคารออนไลน์ในประเทศไทย โทรจันจะแทรกหน้าจอสำหรับกรอกข้อมูลหมายเลขโทรศัพท์มือถือ ดังรูปที่ 2 ซึ่งหากผู้ใช้หลงเชื่อและกรอกข้อมูลลงไป จะมี SMS พร้อมลิงก์สำหรับดาวน์โหลดแอพพลิเคชันของแอนดรอยด์ ส่งมาที่โทรศัพท์มือถือ จุดประสงค์ของแอพพลิเคชันดังกล่าวนี้คือดักรับข้อมูล SMS OTP ที่ผู้ใช้จะได้รับเมื่อล็อกอินเข้าใช้งานเว็บไซต์ธนาคาร ตามรายละเอียดที่ไทยเซิร์ตเคยแจ้งเตือนไปก่อนหน้านี้

ตัวอย่างหน้าจอให้ดาวน์โหลดโปรแกรม AVG ปลอมที่โทรจันแทรกเข้าไปในหน้าเว็บไซต์ธนาคารกรุงไทย

ผู้ใช้จะสังเกตได้ยากว่าเว็บไซต์ของธนาคารถูกเปลี่ยนเนื่องจากการทำงานของโทรจันจะเข้าไปแก้ไขข้อมูลที่แสดงผลอยู่ในเบราว์เซอร์ ไม่ใช่การสร้างเว็บไซต์ปลอม ทำให้การเชื่อมต่อแบบ HTTPS และข้อมูลใบรับรองดิจิทัล (Digital Certificate) ที่แสดงอยู่ในเว็บไซต์ เป็นใบรับรองฯ จริงของธนาคาร

ทางไทยเซิร์ตได้ติดต่อไปยังผู้ดูแลเว็บไซต์ของสำนักพิมพ์ที่ได้รับผลกระทบ รวมทั้งประสานงานกับหน่วยงาน CERT ในประเทศที่เกี่ยวข้อง เพื่อขอความร่วมมือในการแก้ไขช่องโหว่และปิดเว็บไซต์ที่เผยแพร่โทรจันแล้ว อย่างไรก็ตาม ผู้ที่เข้าใช้งานเว็บไซต์ของสำนักพิมพ์ในตอนที่ถูกเจาะระบบอาจถูกติดตั้งโทรจันลงในเครื่องได้

ผลกระทบ

ผู้ใช้ที่เข้าเว็บไซต์ของสำนักพิมพ์ที่ถูกเจาะระบบเพื่อฝังมัลแวร์ดังกล่าวอาจถูกติดตั้งมัลแวร์ลงในเครื่องคอมพิวเตอร์ และอาจถูกหลอกให้ติดตั้งมัลแวร์ลงในโทรศัพท์มือถือ เพื่อที่ผู้ไม่หวังดีสามารถขโมยเงินจากธนาคารได้

ระบบที่ได้รับผลกระทบ

ระบบปฏิบัติการWindows ที่ติดตั้ง Java
Internet Explorer
โทรศัพท์มือถือหรือแท็บเล็ตที่ใช้ระบบปฏิบัติการ Android
ผู้ที่เข้าใช้งานเว็บไซต์สำนักข่าวในประเทศไทยที่ถูกฝังโทรจัน ในวันที่ 12 - 13 มิถุนายน 2556 (หรืออาจรวมถึงช่วงก่อนหน้านั้น)
หมายเหตุ: ข้อมูลเวอร์ชั่นของระบบปฏิบัติการและซอฟต์แวร์ที่ได้รับผลกระทบ อยู่ระหว่างการตรวจสอบ ทางทีมไทยเซิร์ตจะแจ้งให้ทราบต่อไป

ข้อแนะนำในการป้องกันและแก้ไข

วิธีการตรวจสอบ

หลังจากที่ผู้ใช้เข้าใช้งานเว็บไซต์ที่มีโทรจันฝังอยู่ไฟล์ของโทรจันจะถูกติดตั้งลงในเครื่องคอมพิวเตอร์ และมีการตั้งค่าระบบให้มีการเรียกใช้งานไฟล์ดังกล่าวทุกครั้งที่เปิดเครื่อง

เนื่องจากว่าไฟล์ของโทรจันถูกซ่อนไว้ในการลบไฟล์ดังกล่าว ผู้ใช้จำเป็นต้องตั้งค่าระบบให้แสดงผลไฟล์และโฟลเดอร์ที่ถูกซ่อน โดยคลิกที่ปุ่ม Organize เลือก Folder and search options คลิกที่แท็บ View แล้วคลิกที่ตัวเลือก Show hidden files, folder, and drives


แสดงการตั้งเพื่อแสดงไฟล์ที่ซ่อนอยู่

จากนั้นให้ตรวจสอบว่ามีไฟล์ตามตัวอย่างรายชื่อด้านล่างอยู่ในเครื่องหรือไม่

C:\Users\admin\AppData\Local\Temp\fvJcrgR.exe(ชื่อไฟล์สุ่ม ขนาดไฟล์ 64000 bytes)
C:\Users\admin\AppData\Roaming\KB00695775.exe (ชื่อไฟล์ KB ตามด้วยหมายเลขสุ่ม 8 ตัว)
C:\Users\admin\AppData\Local\Temp\POSDDA1.tmp
C:\Users\admin\AppData\Local\Temp\POSDDA1.tmp.BAT
C:\Users\admin\AppData\Local\Temp\POSDDA1.tmp.BAT
หากพบไฟล์ที่มีลักษณะคล้ายคลึงกันอาจเป็นไปได้ว่าเครื่องคอมพิวเตอร์ที่ใช้งานอยู่ได้ติดโทรจันแล้ว

วิธีการแก้ไข

หากพบว่ามีไฟล์ของโทรจันอยู่ในเครื่องอาจไม่สามารถลบไฟล์ดังกล่าวได้ด้วยวิธีปกติ เนื่องจากโทรจันกำลังเรียกใช้งานไฟล์ดังกล่าวอยู่ วิธีการลบไฟล์อาจทำได้โดยเข้าไปลบใน Safe mode ซึ่งสามารถทำได้โดยการ Restart เครื่องแล้วกดปุ่ม F8 ก่อนที่หน้าจอจะปรากฏโลโก้ของ Windows

วิธีการป้องกัน

1. จากการตรวจสอบพบว่าหากเครื่องคอมพิวเตอร์ที่ติดตั้ง Java 6 เปิดเข้าใช้งานเว็บไซต์ที่มีโทรจันฝังอยู่ โทรจันดังกล่าวจะถูกดาวน์โหลดและถูกเรียกใช้งานที่เครื่องของผู้ใช้โดยทันที

แต่จากการตรวจสอบบนระบบที่ติดตั้งJava 7 Update 21 ซึ่งเป็นเวอร์ชั่นล่าสุด พบว่าจะมีหน้าจอแจ้งเตือนการใช้งาน Java Applet ที่อาจไม่ปลอดภัย ดังรูปที่ 5 หากผู้ใช้งานคลิกปุ่ม Cancel โทรจันดังกล่าวจะไม่ถูกเรียกใช้งาน


ตัวอย่างหน้าจอการแจ้งเตือนเมื่อเปิดเว็บไซต์ด้วย Java 7 Update 21

ผู้ใช้สามารถอัพเดท Java ให้เป็นเวอร์ชั่นล่าสุด โดยดาวน์โหลดได้ที่่ http://www.java.com/en/download/

2. ผู้ใช้ควรสังเกตการแจ้งเตือนของเว็บเบราว์เซอร์ ในกรณีที่ได้รับการแจ้งเตือนว่าเว็บไซต์นั้นไม่ปลอดภัย ไม่ควรเข้าใช้งานเว็บไซต์นั้น


ตัวอย่างการแจ้งเตือนของ Google Chrome

3. หากเครื่องของผู้ใช้ไม่มีความจำเป็นต้องใช้งาน Java ควรพิจารณาถอนการติดตั้ง Java ออก หรือปิดการทำงานของ Java ในเว็บเบราว์เซอร์เป็นอย่างน้อย

อย่างไรก็ตาม ในขณะนี้ทางไทยเซิร์ตกำลังอยู่ระหว่างการวิเคราะห์ข้อมูลของโทรจัน และจะอัพเดตข้อมูลที่พบเพิ่มเติมในโอกาสต่อไป

ขอขอบคุณข้อมูลจากwww.thaicert.or.th/alerts/user/2013/al2013us008.html
แสดงความคิดเห็น
โปรดศึกษาและยอมรับนโยบายข้อมูลส่วนบุคคลก่อนเริ่มใช้งาน อ่านเพิ่มเติมได้ที่นี่