เนื้อหาวันที่ : 2008-11-20 15:56:02 จำนวนผู้เข้าชมแล้ว : 1559 views

เทรนด์ ไมโคร เตือนระวังอาชญากรออนไลน์แอบฝังโปรแกรมร้ายในบล็อกเพจ

อาศัยความไว้ใจในฟรีบล็อกไซต์ของผู้ใช้งาน ทำให้ขณะนี้ผู้เขียนมัลแวร์กำลังปลอมแปลงบล็อกขึ้นมาเพื่อแอบติดตั้งมัลแวร์ไว้ในคอมพิวเตอร์ของคุณด้วยการแทรก iFrames ที่เป็นอันตรายลงในบล็อก ส่งผลให้แฮคเกอร์สามารถปรับเปลี่ยนทิศทางของผู้ใช้จากบล็อกที่ถูกต้องไปยังเว็บไซต์ลามก

ด้วยการอาศัยความไว้ใจในฟรีบล็อกไซต์ของผู้ใช้งานทำให้ขณะนี้ผู้เขียนมัลแวร์กำลังปลอมแปลงบล็อกขึ้นมาเพื่อแอบติดตั้งมัลแวร์ไว้ในคอมพิวเตอร์ของคุณด้วยการแทรก iFrames ที่เป็นอันตรายลงในบล็อก ส่งผลให้แฮคเกอร์สามารถปรับเปลี่ยนทิศทางของผู้ใช้จากบล็อกที่ถูกต้องไปยังเว็บไซต์ลามกได้ พวกเขาได้นำเทคนิคเดิมมาใช้ใหม่ นั่นคือโน้มน้าวให้ผู้ใช้ดาวน์โหลด codec หรือตัวช่วยถอดรหัส ซึ่งเมื่อติดตั้งแล้วจะกลายเป็นโปรแกรมช่วยค้นหาเป้าหมายหรือไฟล์ DLL ที่สามารถเข้าถึงอินเทอร์เน็ตบราวเซอร์ของผู้ใช้ได้อย่างไม่จำกัด

.
ภัยคุกคามที่พบ

บล็อกทำให้สื่อเดิมและสื่อใหม่แยกกันแทบไม่ออกเนื่องจากผู้คนเริ่มหันไปทำบล็อกกันมากขึ้น ผู้อ่านในขณะนี้บริโภคเนื้อหาผ่านบล็อก ซึ่งไม่ต่างจากโทรทัศน์ หนังสือพิมพ์ และนิตยสาร ในด้านหนึ่งของความแพร่หลายของบล็อก เหล่าบล็อกเกอร์อิสระได้ทำให้เกิดการเปลี่ยนแปลงอย่างมากเพราะพวกเขาได้สร้างชนิดเนื้อหาข้อมูลเพิ่มมากขึ้น นั่นหมายความว่าบล็อกกลายเป็นตัวเลือกสำหรับผู้อ่านออนไลน์ ขณะที่อีกด้านบริษัทสื่อดั้งเดิมเองก็กระโดดเข้ามาเล่นบล็อกเพื่อเพิ่มเติมจากเนื้อหาปกติของตนด้วย

 .

สแปมเมอร์ ซึ่งมักสำรวจเส้นทางใหม่ที่จะเข้าถึงผู้ใช้จำนวนมากที่สุดให้ได้นั้นก็เริ่มใช้บล็อกในทางที่ไม่ถูกต้องเช่นกัน ในปี 2548 นักวิจัยด้านความปลอดภัยได้ตั้งศัพท์ขึ้นมาใหม่ว่า splog (สปล็อก) หรือ blam (แบลม) ซึ่งหมายถึงเว็บไซต์บล็อกปลอมที่ถูกออกแบบมาเป็นพิเศษเพื่อโฮสต์สแปมหรือสนับสนุนหน้าเว็บ เพจของผลิตภัณฑ์บางอย่าง โดยที่บล็อกลวงเหล่านี้จะดัดแปลงข้อมูลหรือข้อความจากแหล่งข้อมูลออนไลน์อื่นๆ ให้ผิดไปจากเดิม

.

การกระทำเหล่านี้เป็นสิ่งที่ไม่ถูกต้องและก่อให้เกิดความยุ่งยาก สปล็อกได้ทำให้ผลลัพธ์ของกลไกการค้นหาเกิดความเสียหายยิ่งกว่านั้น ถ้าปริมาณของสปล็อกมีจำนวนมากถึงขั้นวิกฤตก็จะส่งผลต่อแบนด์วิธของอินเทอร์เน็ตได้ ชุมชนสังคมออนไลน์มองว่าสิ่งเหล่านี้เป็นก่อให้เกิดความรำคาญ ซึ่งแตกต่างอย่างชัดเจนจากสแปมในบล็อก นั่นคือสแปมเมอร์จะโพสต์เนื้อหาสแปมไว้ในพื้นที่แสดงความคิดเห็นที่ไซต์บล็อกส่วนใหญ่จัด เตรียมไว้

 .

อย่างไรก็ตาม การใช้บล็อกในทางที่ไม่ถูกต้องเมื่อเร็วๆ นี้ พิสูจน์ให้เห็นแล้วว่าก่อให้เกิดความเสียหายมากขึ้น ผู้เขียนมัลแวร์จะสร้างบล็อกและโพสต์เนื้อหาที่ใส่สคริปต์เพื่อปรับทิศทางผู้เยี่ยมชมไปยังไซต์ที่เป็นอันตราย  ซึ่งไซต์อันตรายดังกล่าวอาจมีสแปม และสปายแวร์ จะเห็นได้ชัดว่าผู้เขียนมัลแวร์ใช้โดเมนบล็อกที่ถูกต้องมาเป็นเครื่องมือ เนื่องจากพวกเขาไม่ต้องการโฆษณายูอาร์แอลที่เป็นอันตรายไว้ในข้อความอีเมลที่เป็น สแปม

 .

เมื่อกลางเดือนตุลาคมที่ผ่านมา นักวิจัยของบริษัท เทรนด์ ไมโคร พบว่าบล็อกประมาณ 1,899 แห่งที่โฮสต์อยู่บนบริการเผยแพร่บล็อกที่มีการใช้งานกันอย่างแพร่หลายนั้นมี iFrames อันตรายที่สามารถปรับเปลี่ยนทิศทาง ผู้เยี่ยมชมไปยังเว็บไซต์ลามกได้ นอกจากจะสร้างการปรับทิศทางไปยังไซต์ลามกโดยอัตโนมัติแล้ว ผู้เขียนมัลแวร์ยังใส่ลิงก์วิดีโอไว้ในบล็อกด้วยเพื่อสำรองไว้ในกรณีที่การปรับเปลี่ยนทิศทางไม่ทำงาน TROJ_BHO.EZ ซึ่งเป็น DLL อันตรายออกมาไว้ในคอมพิวเตอร์เครื่องนั้นตามลำดับ

 .

เมื่อผู้ใช้คลิกวิดีโอที่ไซต์ดังกล่าว หน้าต่างก็จะขอให้ผู้ใช้งานดาวน์โหลดตัวช่วยถอดรหัส (codec) แสดงขึ้นมา โดยตัวช่วยถอดรหัสวิดีโอจะเป็นฉากบังมัลแวร์ ซึ่งกรณีที่ตรวจพบเป็นสายพันธุ์ ZLOB เมื่อมีการดาวน์โหลดไฟล์ ติดตั้ง และเรียกใช้แล้ว โทรจันที่ตรวจพบโดยบริษัท เทรนด์ ไมโคร คือ TROJ_DROPPER.BX ก็จะปล่อย

 .

TROJ_BHO.EZ จะติดตั้งตัวเองให้เป็นโปรแกรมช่วยเหลือบราวเซอร์ (Browser Helper Object: BHO) ซึ่งจะทำงานโดยอัตโนมัติทุกครั้งที่เริ่มต้นระบบ การเอาสิ่งนี้ออกในโหมดปกติต้องใช้ความรู้ความชำนาญเป็นพิเศษ เนื่องจาก BHO เป็นโมดูล DLL ที่มีคุณสมบัติการทำงานเสริมสำหรับโปรแกรมอินเทอร์เน็ตเอ็กซ์ พลอเรอร์ (Internet Explorer) โดย BHO ที่ถูกต้องจะช่วยอำนวยความสะดวกให้ผู้ใช้สามารถรับข้อมูลที่ต้องการได้เร็วขึ้นโดยไม่ต้องกรอกข้อมูลครบ แถบเครื่องมืออย่าง Google หรือโปรแกรมเล่นไฟล์ Adobe Flash ถือเป็นรูปแบบ BHO ที่ถูกต้อง

 .

อย่างไรก็ตาม โมดูล DLL เหล่านี้ถูกนำมาใช้ในทางไม่ถูกต้องโดยผู้เขียนมัลแวร์  การโจมตีเป็นเรื่องง่ายทางเทคนิคเนื่องจากพวกเขาสามารถเข้าถึงและควบคุมการนำทางของเพจที่เปิดอยู่ในบราวเซอร์ได้โดยใช้สิทธิ์ของผู้ใช้ปกติ สิ่งเหลานี้กลายเป็นปลั๊กอินของบราวเซอร์ที่จำเป็น อาชญากรไซเบอร์อาจใช้ BHO เพื่อติดตั้งแถบเครื่องมือที่จะบันทึกการเคาะแป้นพิมพ์ของผู้ใช้ (keystroke) โดยบริษัทออนไลน์หลายแห่งยังสามารถติดตั้ง BHO เพื่อแสดงโฆษณาที่น่ารำคาญได้อีกด้วย

 .

การปรับเปลี่ยนทิศทางผู้ใช้ที่มีแฮคเกอร์อยู่เบื้องหลังนั้นเป็นการสร้างให้เหมือนกับเป็นข้อผิดพลาดของการเขียนโค้ดในการกำหนดโดเมนของยูอาร์แอลการดาวน์โหลด ซึ่งถ้าผู้ใช้ไม่หลงเชื่อก็จะไม่เกิดภัยคุกคามนี้

 .

ยูอาร์แอลที่ถูกนำมาใช้หาประโยชน์นั้นถูกต้อง ทำให้เป็นเรื่องยากที่จะแยกบล็อกปลอมออกจากบล็อกที่ถูกต้อง รายงานของ McCann อ้างว่าผู้ใช้บล็อกทั่วโลกยังคงเพิ่มจำนวนขึ้นมาก รวมทั้งบล็อกกเอร์ที่สร้างบล็อกของตัวเองด้วย โดยประมาณ 63% ของผู้ใช้อินเทอร์เน็ตทั่วโลกจะเข้าบล็อกส่วนตัวเป็นประจำ

 .
ความเสี่ยงของผู้ใช้

บริษัท เทรนด์ ไมโคร ระบุว่าผู้ใช้ที่ไม่มีระบบการป้องกันการติดมัลแวร์ร้ายนี้ จะก่อให้เกิดภัยคุกคามมหาศาล ในกรณีนี้ TROJ_BHO.EZ ในรูปของ BHO จะสร้างรายงานการตรวจสอบพฤติกรรมการท่องเว็บ และส่งมอบ เนื้อหาการโฆษณาที่เกี่ยวข้องให้กับเพจเหล่านั้นได้ ซึ่งถือเป็นสิ่งน่ารำคาญต่อการการท่องเว็บของผู้ใช้ได้อย่างมาก  ชื่อเสียงของบริษัทที่ให้บริการบล็อกอาจมีปัญหาเนื่องจากภัยร้ายเหล่านี้ได้ เพราะบล็อกจะนำไปสู่  ยูอาร์แอลที่เป็นอันตราย ผู้ใช้อาจคิดได้ว่าโดเมนของบล็อกที่ใช้งานอยู่นี้เป็นอันตราย

 .

นายรัฐสิริ  ไข่แก้ว ผู้จัดการฝ่ายขายประจำภูมิภาคอินโดจีน บริษัท เทรนด์ ไมโคร อิงค์ กล่าวถึงแนวทางการแก้ไขปัญหาดังกล่าวด้วยเทคโนโลยีล่าสุดของเทรนด์ ไมโคร ว่า  ด้วยเทคโนโลยีสมาร์ท โพรเท็คชั่น เน็ตเวิร์คที่ชาญฉลาดของเทรนด์ ไมโคร สามารถช่วยปกป้องภัยคุกคามความปลอดภัยข้อมูลได้ดีกว่า ด้วยวิธีการปิดกั้น   ภัยคุกคามล่าสุดก่อนที่จะมาถึงผู้ใช้งาน ซึ่งได้รวมเอา เทคโนโลยี In-the-Cloud หรือการสกัดกั้นภัยคุกคามบนเว็บก่อนที่จะเข้าสู่องค์กร ที่จะช่วยป้องกันข้อมูลของผู้ใช้โดยอัตโนมัติเมื่อใดก็ตามที่ผู้ใช้เชื่อมต่ออินเทอร์เน็ต

 .

นอกจากนี้ เทคโนโลยีสมาร์ท โพรเท็คชั่น เน็ตเวิร์คยังเพิ่มการป้องกันภัยคุกคามอื่นๆ ผ่านทางเทคโนโลยีตรวจสอบความมีเชื่อเสียงของเว็บ (Web Reputation) ซึ่งจะระบุเว็บไซต์หรือการเข้าถึงบล็อกที่เป็นอันตราย โดยใช้การจัดอันดับประวัติของโดเมนนั้นๆ เทคโนโลยีตรวจสอบความมีชื่อเสียงของไฟล์ (File Reputation) จะประเมินความปลอดภัยของไฟล์ทั้งหมดที่ดาวน์โหลดลงในคอมพิวเตอร์

 .

โดยจะตรวจจับและเอา TROJ_DROPPER.BX, TROJ_BHO.EZ และภัยคุกคามที่เป็นอันตรายอื่นๆ ออก นอกจากนี้ยังใช้ร่วมกับเทคโนโลยีวิเคราะห์พฤติกรรมเชื่อมโยงเพื่อหาความสัมพันธ์ระหว่างการทำงานของภัยคุกคามเพื่อระบุว่าเป็นส่วนหนึ่งของการโจมตีที่เป็นอันตรายหรือไม่