ใน 2 เดือนที่ผ่านมา ESET พบว่ามี Exploit Kit ตัวใหม่ที่ชื่อว่า มีการแฝงโค้ดไว้ใน pixel ของภาพโฆษณาที่มีการซื้อเพื่อแพร่กระจาย malware ในเว็บไซด์ดังๆมากมาย ซึ่งวิธีดังกล่าวคือการทำ Steganography นั่นเอง

วิธี Steganography เป็นการซ่อนคำหรือตัวอักษรไว้ในภาพ จำเป็นต้องมี Algorithm และบางครั้งจำเป็นต้องมี key ที่ใช้ในการถอดรหัสนำข้อความออกมา

โดยวิธีการแพร่กระจายของ Hacker คือเอาภาพ PNG มาปรับค่าโปร่งแสงของ pixel หลายๆอัน จากนั้นจึง pack ภาพเหล่านั้นลงไปในโฆษณาแล้วไปซื้อโฆษณาในเว็บไซด์ที่ดังๆ ซึ่งภาพแต่ละภาพมีจำนวน pixel เป็นล้านๆ pixel ทำให้ Hacker สามารถเอาโค้ดอันตราย(malicious code) ฝังเข้าไปได้

เนื่องด้วย บริษัทโฆษณาส่วนใหญ่ยอมให้มีการใส่ Javascript เข้าไปในโฆษณาได้(เพื่อเพิ่มลูกเล่นของ ads และการเก็บรายละเอียดข้อมูลอย่างละเอียด) Hacker ก็เลยใส่ Javascript ที่จะไปแปลงภาพเหล่านั้นที่พวกเค้าแนบไปด้วย แล้วดึงค่าของความโปร่งแสงของภาพในแต่ละ pixel จากนั้นใช้สูตรทางคณิตศาสตร์ในการเปลี่ยนค่าเหล่านั้นกลายเป็นตัวอักษรและสุดท้ายกลายเป็น malicious code ไปในที่สุด

stegano-formula

เมื่อ Hacker แปลงสภาพ code เหล่านั้นเรียบร้อยแล้ว code ดังกล่าวจะนำ(redirect)ไปยัง URL ที่เรียกว่า Gate จากนั้น ที่ Server ดังกล่าวจะมีการแยกคนที่เข้าอีกที โดยกลุ่มคนที่เป็นเป้าหมายคือคนที่ใช้ Internet Explorer เท่านั้น จากนั้นจึงทำการโจมตีโดยใช้ CVE-2016-0162 ซึ่งเป็นช่องโหว่ของ IE (นั่นคือเหตุผลว่าทำไมมันถึงต้องกรอง User ก่อน) ซึ่งช่องโหว่ดังกล่าวจะทำให้ Hacker ทราบได้ว่า User ที่เข้ามาเป็น User จริงๆหรือเป็น Security Researcher

เมื่อแยกเหยื่อได้เรียบร้อย Gate ก็จะพาไปสู่ stage สุดท้ายนั่นคือการโจมตีโดยใช้ exploit kit ที่อยู่อีก path หนึ่ง ซึ่ง exploit kit ดังกล่าวจะโจมตีโดยใช้ 3 ช่องโหว่ของ Adobe Flash Player (CVE-2015-8651, CVE-2016-1019 or CVE-2016-4117) เพื่อบังคับให้เหยื่อ download และติดตั้ง malware ส่วนที่เหลือ

จนกระทั่งตอนนี้ Stegano Exploit kit ยังคงใช้ malware คือ Ursnif และ Ramnit ซึ่งเป็น trojan ที่ใช้โจมตีเพื่อขโมยข้อมูลของธนาคาร แต่ก็มีความเป็นไปได้ว่าอาจจะมีการเปลี่ยน malware สุดท้ายไปเป็นตัวอื่นเช่นกัน โดยขั้นตอนการโจมตีที่กล่าวมาทั้งหมดใช้เวลาเพียง 1-2 วินาทีเท่านั้น ทางที่ดีในการป้องกัน malware เหล่านี้คือการ update software, antivirus ให้ใหม่สุดเสมอครับ

stegano2

Source:: bleepingcomputer.com

Leave a Reply

Your email address will not be published. Required fields are marked *

*
*