1. Skip to Menu
  2. Skip to Content
  3. Skip to Footer>

ระวังภัย เว็บไซต์สำนักข่าวหลายแห่งในประเทศไทยถูกเจาะ

ฝังโทรจันที่หลอกให้ดาวน์โหลดแอนตี้ไวรัสปลอม

ttt

ทีมไทยเซิร์ตได้พบว่าเว็บไซต์ของสำนักข่าวหลายแห่งในประเทศไทยได้ถูกเจาะระบบเพื่อฝังโทรจันที่โจมตีผ่านช่องโหว่ของ Java ดังรูปที่ 1 ซึ่งโทรจันนี้สามารถถูกติดตั้งลงในเครื่องคอมพิวเตอร์ของผู้ใช้ได้ในทันทีที่เข้าเว็บไซต์ดังกล่าว (Drive-by-Download)


Al2013us008-1

รูปที่ 1 ตัวอย่างโทรจันที่พบในเว็บไซต์สำนักข่าวแห่งหนึ่ง

โทรจันจะตรวจสอบการใช้งานเบราว์เซอร์ เมื่อพบว่าผู้ใช้ล็อกอินเข้าใช้งานเว็บไซต์ของธนาคารออนไลน์ในประเทศไทย จะแทรกหน้าจอสำหรับกรอกข้อมูลหมายเลขโทรศัพท์มือถือ ดังรูปที่ 2, 3, 4 และ 5 ซึ่งหากผู้ใช้หลงเชื่อและกรอกข้อมูลลงไป จะมี SMS พร้อมลิงก์สำหรับดาวน์โหลดแอปพลิเคชันของ Android ชื่อ AVG AntiVirus Mobile Pro ส่งมาที่โทรศัพท์มือถือ ซึ่งแอปพลิเคชันดังกล่าวนี้เป็นแอนตี้ไวรัสปลอม มีจุดประสงค์เพื่อดักรับข้อมูล SMS OTP ที่ผู้ใช้จะได้รับเมื่อล็อกอินเข้าใช้งานเว็บไซต์ธนาคาร ตามรายละเอียดที่ไทยเซิร์ตเคยแจ้งเตือนไปก่อนหน้านี้ [1]

Al2013us008-2

รูปที่ 2 ตัวอย่างหน้าจอให้ดาวน์โหลดโปรแกรม AVG ปลอมที่โทรจันแทรกเข้าไปในหน้าเว็บไซต์ธนาคารกสิกรไทย

Al2013us008-3

รูปที่ 3 ตัวอย่างหน้าจอให้ดาวน์โหลดโปรแกรม AVG ปลอมที่โทรจันแทรกเข้าไปในหน้าเว็บไซต์ธนาคารกรุงไทย

Al2013us008-4

รูปที่ 4 ตัวอย่างหน้าจอให้ดาวน์โหลดโปรแกรม AVG ปลอมที่โทรจันแทรกเข้าไปในหน้าเว็บไซต์ธนาคารกรุงเทพ

Al2013us008-5

รูปที่ 5 ตัวอย่างหน้าจอให้ดาวน์โหลดโปรแกรม AVG ปลอมที่โทรจันแทรกเข้าไปในหน้าเว็บไซต์ธนาคารไทยพาณิชย์

ผู้ใช้จะสังเกตได้ยากว่าเว็บไซต์ของธนาคารถูกเปลี่ยน เนื่องจากการทำงานของโทรจันจะเข้าไปแก้ไขข้อมูลที่แสดงผลอยู่ในเบราว์เซอร์ ไม่ใช่การสร้างเว็บไซต์ปลอม ทำให้การเชื่อมต่อแบบ HTTPS และข้อมูลใบรับรองดิจิทัล (Digital Certificate) ที่แสดงอยู่ในเว็บไซต์ เป็นใบรับรองฯ จริงของธนาคาร

ทางไทยเซิร์ตได้ติดต่อไปยังผู้ดูแลเว็บไซต์ของสำนักพิมพ์ที่ได้รับผลกระทบ รวมทั้งประสานงานกับหน่วยงาน CERT ในประเทศที่เกี่ยวข้อง เพื่อขอความร่วมมือในการแก้ไขช่องโหว่และปิดเว็บไซต์ที่เผยแพร่โทรจันแล้ว อย่างไรก็ตาม ผู้ที่เข้าใช้งานเว็บไซต์ของสำนักพิมพ์ในตอนที่ถูกเจาะระบบอาจถูกติดตั้งโทรจันลงในเครื่องได้

ผลกระทบ

ผู้ใช้ที่เข้าเว็บไซต์ของสำนักพิมพ์ที่ถูกเจาะระบบเพื่อฝังมัลแวร์ดังกล่าว อาจถูกติดตั้งมัลแวร์ลงในเครื่องคอมพิวเตอร์ และอาจถูกหลอกให้ติดตั้งมัลแวร์ลงในโทรศัพท์มือถือ เพื่อที่ผู้ไม่หวังดีสามารถขโมยเงินจากธนาคารได้

ระบบที่ได้รับผลกระทบ

ระบบปฏิบัติการ Windows ที่ติดตั้ง Java

Internet Explorer

โทรศัพท์มือถือหรือแท็บเล็ตที่ใช้ระบบปฏิบัติการ Android

ผู้ที่เข้าใช้งานเว็บไซต์สำนักข่าวในประเทศไทยที่ถูกฝังโทรจัน ในวันที่ 12 - 13 มิถุนายน 2556 (หรืออาจรวมถึงช่วงก่อนหน้านั้น)

หมายเหตุ: ข้อมูลเวอร์ชั่นของระบบปฏิบัติการและซอฟต์แวร์ที่ได้รับผลกระทบ อยู่ระหว่างการตรวจสอบ ทางทีมไทยเซิร์ตจะแจ้งให้ทราบต่อไป

ข้อแนะนำในการป้องกันและแก้ไข

วิธีการตรวจสอบ

จากการตรวจสอบของทีมไทยเซิร์ต พบว่าโทรจันที่พบนี้เป็นเวอร์ชั่นดัดแปลงของโทรจันที่ชื่อ Critex ซึ่งเคยถูกใช้ในการโจมตีธนาคารต่างประเทศมาแล้วเมื่อต้นปี 2555 [2] ซึ่งผู้ที่เจาะระบบเว็บไซต์ของสำนักพิมพ์ได้ดัดแปลงให้โทรจันนี้โจมตีธนาคารในประเทศไทย เนื่องจากโทรจันที่พบนี้เป็นเวอร์ชั่นดัดแปลง จึงอาจทำให้โปรแกรมแอนตี้ไวรัสจำนวนหนึ่งไม่สามารถตรวจจับโทรจันนี้ได้

หลังจากที่ผู้ใช้เข้าใช้งานเว็บไซต์ที่มีโทรจันฝังอยู่ ไฟล์ของโทรจันจะถูกติดตั้งลงในเครื่องคอมพิวเตอร์ และมีการตั้งค่าระบบให้มีการเรียกใช้งานไฟล์ดังกล่าวทุกครั้งที่เปิดเครื่อง

เนื่องจากไฟล์ของโทรจันถูกซ่อนไว้ ในการตรวจสอบเครื่องคอมพิวเตอร์ว่ามีไฟล์ของโทรจันอยู่หรือไม่ ผู้ใช้จำเป็นต้องตั้งค่าระบบให้แสดงผลไฟล์และโฟลเดอร์ที่ถูกซ่อน โดยสามารถทำได้ดังนี้

  • Windows XP
  • Windows Vista
  • Windows 7
  • Windows 8

วิธีแก้ไข

ตัวอย่างการตั้งค่า Windows XP และ Windows 7 

Company Related Link :

ThaiCert

Description :


ที่มาของข่าว :  https://thaicert.or.th/alerts/user/2013/al2013us008.html

 

Main Menu

OCS Forum

No posts to display.

สำนักบริการคอมพิวเตอร์  มหาวิทยาลัยหอการค้าไทย
126 / 1 ถ.วิภาวดีรังสิต ดินแดง กรุงเทพฯ 10400
โทรศัพท์: 02-6976280 - 9   โทรสาร: 02-6923784