Clear
Lead Graphic Papers

ระวังภัย เว็บไซต์สำนักข่าวหลายแห่งในประเทศไทยถูกเจาะ ฝังโทรจันที่หลอกให้ดาวน์โหลดแอนตี้ไวรัสปลอม

วันที่ประกาศ: 13 มิถุนายน 2556
ปรับปรุงล่าสุด: 14 มิถุนายน 2556
เรื่อง: ระวังภัย เว็บไซต์สำนักข่าวหลายแห่งในประเทศไทยถูกเจาะ ฝังโทรจันที่หลอกให้ดาวน์โหลดแอนตี้ไวรัสปลอม

ประเภทภัยคุกคาม: Malicious Code

Share on Facebook Share on Twitter Share on Facebook

ข้อมูลทั่วไป

เมื่อวันที่ 12 มิถุนายน 2556 ทีมไทยเซิร์ตได้พบว่าเว็บไซต์ของสำนักข่าวหลายแห่งในประเทศไทยได้ถูกเจาะระบบเพื่อฝังโทรจันที่โจมตีผ่านช่องโหว่ของ Java ดังรูปที่ 1 ซึ่งโทรจันนี้สามารถถูกติดตั้งลงในเครื่องคอมพิวเตอร์ของผู้ใช้ได้ในทันทีที่เข้าเว็บไซต์ดังกล่าว (Drive-by-Download)


รูปที่ 1 ตัวอย่างโทรจันที่พบในเว็บไซต์สำนักข่าวแห่งหนึ่ง

โทรจันจะตรวจสอบการใช้งานเบราว์เซอร์ เมื่อพบว่าผู้ใช้ล็อกอินเข้าใช้งานเว็บไซต์ของธนาคารออนไลน์ในประเทศไทย จะแทรกหน้าจอสำหรับกรอกข้อมูลหมายเลขโทรศัพท์มือถือ ดังรูปที่ 2, 3, 4 และ 5 ซึ่งหากผู้ใช้หลงเชื่อและกรอกข้อมูลลงไป จะมี SMS พร้อมลิงก์สำหรับดาวน์โหลดแอปพลิเคชันของ Android ชื่อ AVG AntiVirus Mobile Pro ส่งมาที่โทรศัพท์มือถือ ซึ่งแอปพลิเคชันดังกล่าวนี้เป็นแอนตี้ไวรัสปลอม มีจุดประสงค์เพื่อดักรับข้อมูล SMS OTP ที่ผู้ใช้จะได้รับเมื่อล็อกอินเข้าใช้งานเว็บไซต์ธนาคาร ตามรายละเอียดที่ไทยเซิร์ตเคยแจ้งเตือนไปก่อนหน้านี้ [1]


รูปที่ 2 ตัวอย่างหน้าจอให้ดาวน์โหลดโปรแกรม AVG ปลอมที่โทรจันแทรกเข้าไปในหน้าเว็บไซต์ธนาคารกสิกรไทย


รูปที่ 3 ตัวอย่างหน้าจอให้ดาวน์โหลดโปรแกรม AVG ปลอมที่โทรจันแทรกเข้าไปในหน้าเว็บไซต์ธนาคารกรุงไทย


รูปที่ 4 ตัวอย่างหน้าจอให้ดาวน์โหลดโปรแกรม AVG ปลอมที่โทรจันแทรกเข้าไปในหน้าเว็บไซต์ธนาคารกรุงเทพ


รูปที่ 5 ตัวอย่างหน้าจอให้ดาวน์โหลดโปรแกรม AVG ปลอมที่โทรจันแทรกเข้าไปในหน้าเว็บไซต์ธนาคารไทยพาณิชย์

ผู้ใช้จะสังเกตได้ยากว่าเว็บไซต์ของธนาคารถูกเปลี่ยน เนื่องจากการทำงานของโทรจันจะเข้าไปแก้ไขข้อมูลที่แสดงผลอยู่ในเบราว์เซอร์ ไม่ใช่การสร้างเว็บไซต์ปลอม ทำให้การเชื่อมต่อแบบ HTTPS และข้อมูลใบรับรองดิจิทัล (Digital Certificate) ที่แสดงอยู่ในเว็บไซต์ เป็นใบรับรองฯ จริงของธนาคาร

ทางไทยเซิร์ตได้ติดต่อไปยังผู้ดูแลเว็บไซต์ของสำนักพิมพ์ที่ได้รับผลกระทบ รวมทั้งประสานงานกับหน่วยงาน CERT ในประเทศที่เกี่ยวข้อง เพื่อขอความร่วมมือในการแก้ไขช่องโหว่และปิดเว็บไซต์ที่เผยแพร่โทรจันแล้ว อย่างไรก็ตาม ผู้ที่เข้าใช้งานเว็บไซต์ของสำนักพิมพ์ในตอนที่ถูกเจาะระบบอาจถูกติดตั้งโทรจันลงในเครื่องได้

ผลกระทบ

ผู้ใช้ที่เข้าเว็บไซต์ของสำนักพิมพ์ที่ถูกเจาะระบบเพื่อฝังมัลแวร์ดังกล่าว อาจถูกติดตั้งมัลแวร์ลงในเครื่องคอมพิวเตอร์ และอาจถูกหลอกให้ติดตั้งมัลแวร์ลงในโทรศัพท์มือถือ เพื่อที่ผู้ไม่หวังดีสามารถขโมยเงินจากธนาคารได้

ระบบที่ได้รับผลกระทบ

  • ระบบปฏิบัติการ Windows ที่ติดตั้ง Java
  • Internet Explorer
  • โทรศัพท์มือถือหรือแท็บเล็ตที่ใช้ระบบปฏิบัติการ Android
  • ผู้ที่เข้าใช้งานเว็บไซต์สำนักข่าวในประเทศไทยที่ถูกฝังโทรจัน ในวันที่ 12 - 13 มิถุนายน 2556 (หรืออาจรวมถึงช่วงก่อนหน้านั้น)

หมายเหตุ: ข้อมูลเวอร์ชั่นของระบบปฏิบัติการและซอฟต์แวร์ที่ได้รับผลกระทบ อยู่ระหว่างการตรวจสอบ ทางทีมไทยเซิร์ตจะแจ้งให้ทราบต่อไป

ข้อแนะนำในการป้องกันและแก้ไข

วิธีการตรวจสอบ

จากการตรวจสอบของทีมไทยเซิร์ต พบว่าโทรจันที่พบนี้เป็นเวอร์ชั่นดัดแปลงของโทรจันที่ชื่อ Critex ซึ่งเคยถูกใช้ในการโจมตีธนาคารต่างประเทศมาแล้วเมื่อต้นปี 2555 [2] ซึ่งผู้ที่เจาะระบบเว็บไซต์ของสำนักพิมพ์ได้ดัดแปลงให้โทรจันนี้โจมตีธนาคารในประเทศไทย เนื่องจากโทรจันที่พบนี้เป็นเวอร์ชั่นดัดแปลง จึงอาจทำให้โปรแกรมแอนตี้ไวรัสจำนวนหนึ่งไม่สามารถตรวจจับโทรจันนี้ได้

หลังจากที่ผู้ใช้เข้าใช้งานเว็บไซต์ที่มีโทรจันฝังอยู่ ไฟล์ของโทรจันจะถูกติดตั้งลงในเครื่องคอมพิวเตอร์ และมีการตั้งค่าระบบให้มีการเรียกใช้งานไฟล์ดังกล่าวทุกครั้งที่เปิดเครื่อง

เนื่องจากไฟล์ของโทรจันถูกซ่อนไว้ ในการตรวจสอบเครื่องคอมพิวเตอร์ว่ามีไฟล์ของโทรจันอยู่หรือไม่ ผู้ใช้จำเป็นต้องตั้งค่าระบบให้แสดงผลไฟล์และโฟลเดอร์ที่ถูกซ่อน โดยสามารถทำได้ดังนี้

ตัวอย่างการตั้งค่า Windows XP และ Windows 7 ให้แสดงผลไฟล์และโฟลเดอร์ที่ถูกซ่อน เป็นดังรูปที่ 6 และ 7


รูปที่ 6 แสดงวิธีการตั้งค่า Windows XP ให้แสดงผลไฟล์และโฟลเดอร์ที่ถูกซ่อน


รูปที่ 7 แสดงวิธีการตั้งค่า Windows 7 ให้แสดงผลไฟล์และโฟลเดอร์ที่ถูกซ่อน

จากนั้นให้ตรวจสอบว่ามีไฟล์ตามตัวอย่างรายชื่อด้านล่างอยู่ในเครื่องหรือไม่

  • C:\Users\admin\AppData\Local\Temp\fvJcrgR.exe (ชื่อไฟล์สุ่ม ขนาดไฟล์ 64000 bytes)
  • C:\Users\admin\AppData\Roaming\KB00695775.exe (ชื่อไฟล์ KB ตามด้วยหมายเลขสุ่ม 8 ตัว)
  • C:\Users\admin\AppData\Local\Temp\POSDDA1.tmp
  • C:\Users\admin\AppData\Local\Temp\POSDDA1.tmp.BAT

หากพบไฟล์ที่มีลักษณะคล้ายคลึงกันอาจเป็นไปได้ว่าเครื่องคอมพิวเตอร์ที่ใช้งานอยู่ได้ติดโทรจันแล้ว

วิธีการแก้ไข

การลบไฟล์ของโทรจันออกจากเครื่อง อาจไม่สามารถทำได้ด้วยวิธีปกติ เนื่องจากโทรจันกำลังเรียกใช้งานไฟล์ดังกล่าวอยู่ วิธีการลบไฟล์อาจทำได้โดยเข้าไปลบใน Safe mode ซึ่งสามารถทำได้โดยการ Restart เครื่องแล้วกดปุ่ม F8 ก่อนที่หน้าจอจะปรากฏโลโก้ของ Windows

วิธีการเข้า Safe mode ของระบบปฏิบัติการ Windows เวอร์ชั่นต่างๆ มีดังนี้

สำหรับผู้ที่มีประสบการณ์ สามารถตรวจสอบ และลบ Registry ที่ถูกมัลแวร์เข้าไปเปลี่ยนแปลงได้ตามรายการด้านล่างนี้

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"KB00582800.exe" = "C:\Documents and Settings\admin\Application Data\KB00582800.exe"

หมายเหตุ: ชื่อ "KB00582800.exe" เป็นชื่อไฟล์ที่มัลแวร์สร้าง ซึ่งอาจมีการเปลี่ยนแปลงได้ตามแต่ละเครื่อง

อย่างไรก็ตาม โดยในขณะที่ดำเนินการตรวจสอบโทรจัน ทางไทยเซิร์ตพบว่าโปรแกรมแอนตี้ไวรัสโดยส่วนใหญ่ไม่สามารถตรวจสอบและกำจัดโทรจันนี้ได้ ขณะนี้ทางไทยเซิร์ตอยู่ระหว่างการประสานงานไปยังผู้ผลิตซอฟต์แวร์แอนตี้ไวรัสเพื่อขอให้ช่วยอัพเดตฐานข้อมูลเพื่อใช้ในการกำจัดโทรจันที่พบนี้ต่อไป

วิธีการป้องกัน

1. จากการตรวจสอบพบว่าหากเครื่องคอมพิวเตอร์ที่ติดตั้ง Java 6 เปิดเข้าใช้งานเว็บไซต์ที่มีโทรจันฝังอยู่ โทรจันดังกล่าวจะถูกดาวน์โหลดและถูกเรียกใช้งานที่เครื่องของผู้ใช้โดยทันที

แต่จากการตรวจสอบบนระบบที่ติดตั้ง Java 7 Update 21 ซึ่งเป็นเวอร์ชั่นล่าสุด พบว่าจะมีหน้าจอแจ้งเตือนการใช้งาน Java Applet ที่อาจไม่ปลอดภัย ดังรูปที่ 8 หากผู้ใช้งานคลิกปุ่ม Cancel โทรจันดังกล่าวจะไม่ถูกเรียกใช้งาน


รูปที่ 8 ตัวอย่างหน้าจอการแจ้งเตือนเมื่อเปิดเว็บไซต์ด้วย Java 7 Update 21

ผู้ใช้สามารถอัพเดท Java ให้เป็นเวอร์ชั่นล่าสุด โดยดาวน์โหลดได้ที่่ http://www.java.com/en/download/

2. ผู้ใช้ควรสังเกตการแจ้งเตือนของเว็บเบราว์เซอร์ ในกรณีที่ได้รับการแจ้งเตือนว่าเว็บไซต์นั้นไม่ปลอดภัย ดังรูปที่ 9 และ 10 ไม่ควรเข้าใช้งานเว็บไซต์นั้น


รูปที่ 9 ตัวอย่างการแจ้งเตือนของ Google Chrome


รูปที่ 10 ตัวอย่างการแจ้งเตือนของ Mozilla Firefox

3. หากเครื่องของผู้ใช้ไม่มีความจำเป็นต้องใช้งาน Java ควรพิจารณาถอนการติดตั้ง Java ออก หรือปิดการทำงานของ Java ในเว็บเบราว์เซอร์ [3] เป็นอย่างน้อย

4. อัพเดตฐานข้อมูลของโปรแกรมแอนตี้ไวรัสอย่างสม่ำเสมอ เพื่อช่วยให้สามารถตรวจจับและป้องกันมัลแวร์ใหม่ๆ ได้

อ้างอิง

  1. https://www.thaicert.or.th/alerts/user/2013/al2013us007.html
  2. http://labs.m86security.com/2012/03/the-cridex-trojan-targets-137-financial-organizations-in-one-go/
  3. https://www.thaicert.or.th/papers/general/2012/pa2012ge015.html

Clear

ลงทะเบียนรับข่าวสาร

ลงทะเบียนเพื่อรับข้อมูลข่าวสารด้านความมั่นคงปลอดภัย

อีเมล :

 กรอกรหัสที่พบจากรูป