Visbot ไม่เหมือนกับ malware ตัวอื่นบนเว็บไซด์ที่ทำด้วย Magento (CMS) ที่คอยขโมยบัตรเครดิต Visbot จะไม่ได้ทำงานอยู่ในส่วน Front-end ของ Website แต่ Visbot จะทำงานเฉพาะฝั่ง Server-side เท่านั้น จะไม่มีการเปิดเผยตัวตน คนที่สามารถจะเจอ Visbot ได้มีแต่ Webmaster เท่านั้น

Malware ตัวนี้จะคอยเฝ้าการส่งข้อมูลบัตรเครดิตของ User จากนั้นจะทำการดักจับอยู่ตรงกลาง

Visbot จะแฝงอยู่ในไฟล์ภาพ (ใช้เทคนิคที่ชื่อว่า Stenography ซึ่งเป็นการแฝงข้อมูลไว้ในไฟล์ภาพ) Visbot จะวางรูปภาพที่แฝงไว้ในเว็บไซด์ที่เป็นพวก public folder ที่สามารถเข้าถึงได้จากภายนอก ผู้เขียน Malware จะมีการกำหนดให้เว็บไซด์ที่ติด malware ดึงภาพนั้นๆเป็นระยะๆ

ถ้าเว็บไซด์อยู่หลัง Firewall สิ่งที่เราเห็นก็จะแค่เหมือนกับการ download ไฟล์ภาพโดยเว็บไซด์เท่านั้น

ไฟล์ภาพที่ Malware มักจะดึงข้อมูลมีดังนี้

  • bkg_btn-close2_bg.gif
  • btn_back_bg_bg.gif
  • btn_cancel_bg_bg.gif
  • left_button_back.gif
  • mage.jpg
  • nav1_off_bg.gif
  • notice-msg_bg.png
  • section_menu_link_bg_bg.gif
  • sort-arrow-down_bg.png

visbot

Visbot จะมีการเก็บ private key (รวมกับ public key ไว้) ที่สามารถถอดรหัสข้อมูลไว้ นั่นหมายความว่า Hacker คนอื่นๆจะสามารถ image ได้แต่ไม่สามารถถอดรหัสเพื่อดึงข้อมูลออกมาได้ครับ

 

Source:: BleepingComputer.com

Previous Article

Hacker ที่แฮ็คระบบขนส่งของ San Franscisco ถูกแฮ็คซะเอง!! ข้อมูลเพียบ

View Post

Leave a Reply

Your email address will not be published. Required fields are marked *

*
*