พบมัลแวร์ GhostPoster บนส่วนเสริม Firefox ถึง 17 ตัว
พบมัลแวร์ GhostPoster บนส่วนเสริม Firefox ถึง 17 ตัว
มีเหยื่อกว่า 5 หมื่นรายแล้ว
เว็บเบราว์เซอร์ในยุคสมัยปัจจุบันนั้น มักจะมีส่วนเสริม (Add-On หรือ Extension) มาเสริมในการทำงานของตัวเบราว์เซอร์อย่างมากมาย และส่วนนี้ก็นับว่าเป็นจุดอ่อนด้วยเนื่องจากแฮกเกอร์สามารถใช้งานส่วนเสริมเว็บเบราว์เซอร์มาปล่อยมัลแวร์ได้
จากรายงานโดยเว็บไซต์ The Hacker News ได้กล่าวถึงการตรวจพบแคมเปญการแพร่กระจายมัลแวร์ GhostPoster ซึ่งเป็นมัลแวร์ที่มีการใช้งาน JavaScript เพื่อเข้ายึด Affiliate Link และยิงโฆษณาปลอมที่ใช้ในการฉ้อโกง ผ่านทางส่วนเสริมปลอมบนสำหรับเว็บเบราว์เซอร์ Firefox โดยแคมเปญนี้ถูกตรวจพบโดยทีมวิจัยจาก Koi Security บริษัทผู้เชี่ยวชาญด้านการจัดการความปลอดภัยของซอฟต์แวร์ ซึ่งทางทีมวิจัยได้เปิดเผยว่า ส่วนเสริมปลอมเหล่านี้มายอดดาวน์โหลดรวมกันมากกว่า 50,000 ครั้ง โดยรายชื่อของส่วนเสริมที่เป็นประเด็นนั้นมีดังนี้
Free VPN
Screenshot
Weather (weather-best-forecast)
Mouse Gesture (crxMouse)
Cache - Fast site loader
Free MP3 Downloader
Google Translate (google-translate-right-clicks)
Traductor de Google
Global VPN - Free Forever
Dark Reader Dark Mode
Translator - Google Bing Baidu DeepL
Weather (i-like-weather)
Google Translate (google-translate-pro-extension)
谷歌翻译
libretv-watch-free-videos
Ad Stop - Best Ad Blocker
Google Translate (right-click-google-translate)
ซึ่งหลังจากการติดตั้งส่วนเสริมดังกล่าวลงบนเว็บเบราว์เซอร์ของเหยื่อ ระหว่างการเปิดใช้งานส่วนเสริมและได้มีการดึงไฟล์โลโก้ของส่วนเสริมลงมา ในช่วงของการประมวลผลไฟล์โลโก้นั้น ตัวโค้ดมัลแวร์ก็พบกับโค้ด Marker ที่มีสัญลักษณ์ "===" อยู่ อันจะนำพาไปสู่การถอดโค้ด JavaScript ออกมา หลังจากนั้นตัวมัลแวร์ก็จะทำการติดต่อกับเซิร์ฟเวอร์ที่ตั้งอยู่ที่ "www.liveupdt[.]com" หรือ "www.dealctr[.]com" เพื่อดึงมัลแวร์หลัก (Payload) ลงมาจากเซิร์ฟเวอร์ โดยจะมีการเว้นช่วง 48 ชั่วโมงต่อการพยายามดึง Payload ลงมาในแต่ละรอบ และเพื่อหลบเลี่ยงการถูกตรวจจับ การดาวน์โหลด Payload ลงมานั้นจะทำเพียงครั้งละ 10% เท่านั้น
สำหรับความสามารถของตัวมัลแวร์นี้นั้นมีดังนี้
การขโมยเข้ายึด Affiliate Link จากเว็บอีคอมเมิร์ซเช่น Taobao และ JD.com มาใช้งานเองเพื่อขโมยค่าคอมมิชชั่นของเหยื่อที่เกิดจากการขายของได้
การแอบฝังโค้ดติดตาม (Tracking Code) เพื่อติดตามการเข้าเว็บต่าง ๆ ของเหยื่อ
ลบการรักษาความปลอดภัยในส่วนของ Header เช่น Content-Security-Policy และ X-Frame-Options ออกเพื่อเปิดทางการโจมตีเหยื่อด้วยวิธีการ Clickjacking และ Cross-site Script
ยิงคอนเทนต์ที่มองไม่เห็น (Invisible) ลงในส่วนของ iFrame เปิดทางให้แฮกเกอร์ยิงโฆษณาปลอมลงบนเว็บไซต์เหยื่อที่เปิดผ่านทางเว็บเบราว์เซอร์ที่ติดมัลแวร์อยู่
ฟีเจอร์หลบเลี่ยง Captcha (CAPTCHA bypass) และหลบเลี่ยงการถูกตรวจจับโดยบอทบนเว็บไซต์
โซฟาตัวนี้ สร้างความงุนงงให้กับนักวิทยาศาสตร์ มานานกว่า 60 ปีแล้ว!!
อำเภอที่อยู่ไกลจากตัวจังหวัดที่สุด
ประเทศที่มีแหล่งน้ำมันดิบ ปริมาณมากที่สุดเป็นอันดับหนึ่งของโลก
นกเพียง 4 ชนิด ที่มีชื่อเป็นสัตว์ป่าสงวนของประเทศไทย
นทท.ไต้หวัน เห็นสิ่งนี้ถึงกับให้ทิปรัว ๆ ทุกวัน
ซีแลนเดีย (Zealandia): ทวีปที่ 8 ของโลก ขุมทรัพย์ลึกลับใต้ก้นมหาสมุทรแปซิฟิก
จังหวัดเดียวในประเทศไทย ที่ไม่มีอำเภอเมืองเหมือนจังหวัดอื่น
ย้อนรอย 6 อารยธรรมโบราณที่ล่มสลายอย่างลึกลับ ทิ้งไว้เพียงปริศนาให้โลกค้นหา
5 ดินแดนที่สหรัฐอเมริกาเคยพยายามขอซื้อแต่ล้มเหลว
ขอแสดงความเสียใจต่อการจากไปของพยาบาลยุภารักษ์ สุขวรรณดี ที่เสียชีวิตขณะดูแลผู้ป่วย
มหากาพย์ "ทวีปมู" อาณาจักรแม่ที่สาบสูญกับความลับใต้ผืนน้ำแปซิฟิก
เซอร์อังกฤษวัย 79 ปี เสนอเงินเดือนให้สาวที่จะมาผลิตทายาท เพื่อรักษาตระกูลในคฤหาสน์ 5,000 ไร่ประเทศที่มีแหล่งน้ำมันดิบ ปริมาณมากที่สุดเป็นอันดับหนึ่งของโลก
"เด็กเขมร" อยากกลับมาเรียนหนังสือในไทย คุณคิดยังไง?
ข่าววันนี้
เห็นคนแห่ไปร่อนทองตามคลอง... แต่รู้ไหมว่า "ทองคำ" ในร้านตู้แดงบ้านเรา จริงๆ แล้วมาจากไหน? (ไม่ใช่ในน้ำแน่นอน!)
หนุ่มเพี้ยนกินข้าววัด ควงมีดปังตอขู่พระ ขว้างก้อนหินวัดเสียหาย
นทท.ไต้หวัน เห็นสิ่งนี้ถึงกับให้ทิปรัว ๆ ทุกวัน
เซอร์อังกฤษวัย 79 ปี เสนอเงินเดือนให้สาวที่จะมาผลิตทายาท เพื่อรักษาตระกูลในคฤหาสน์ 5,000 ไร่