iFrame ช่องโหว่ที่โค้ดร้ายเข้ามาคุกคามเว็บ

 บริษัท เทรนด์ ไมโคร อินคอร์ปอเรท ผู้พัฒนาซอฟต์แวร์ และการบริการด้านการป้องกันไวรัสบนเครือข่าย และระบบรักษาความปลอดภัยข้อมูลบนอินเทอร์เน็ต เปิดเผยว่า เมื่อเร็วๆ นี้ อุปกรณ์ป้องกันไวรัส เทรนด์ ไมโคร ออฟฟิศสแกน และเทรนด์ ไมโคร อินเทอร์เน็ต ซิเคียวริตี้ และผลิตภัณฑ์เกตเวย์ และเมลเซิร์ฟเวอร์สามารถตรวจจับการแพร่ระบาดทางเว็บล่าสุด โดยอาศัยช่องโหว่ “iFrame” ของเว็บไซต์ทั่วไป แทรกโค้ดร้ายเข้าสู่เว็บไซต์ปกติอื่นๆ ได้
      
       การแพร่ระบาดดังกล่าวเริ่มแพร่ในเว็บไซต์ของอิตาลี โดยสร้างโค้ดร้ายจำนวนมากที่ผลิตคีย์ล็อกเกอร์เพื่อขโมยรหัสผ่านผู้ใช้หรือเปลี่ยนคอมพิวเตอร์ให้เป็นพร็อกซี่เซิร์ฟเวอร์สำหรับการโจมตีอื่นๆ ที่หลากหลายรูปแบบ ผู้ใช้นับหมื่นรายทั่วโลกเข้าถึงยูอาร์แอลที่เป็นอันตรายนี้ โดยไม่รู้ตัวว่าการท่องเว็บในรูปแบบปกติ ทำให้เกิดภัยคุกคามบนเว็บขึ้น
      
       เริ่มแรกมัลแวร์ในรูปเอชทีเอ็มแอล (HTML) จะใช้ช่องโหว่ที่เรียกว่า “iFrames” ที่เว็บไซต์หลายแห่งนำไปใช้งาน และช่องโหว่นี้สามารถนำไปหาประโยชน์ในทางที่ผิดได้ด้วย นักวิจัยของเทรนด์ ไมโครเชื่อว่าในเบื้องต้นอาจเป็นการโจมตีโดยอัตโนมัติ ที่สร้างขึ้นจากชุดสร้างโทรจันคอมพิวเตอร์
      
       การทำงานของภัยร้ายนี้ จะเริ่มขึ้นเมื่อมีการเข้าสู่หน้าเว็บไซต์ของอิตาลีที่ติดเชื้อ จากนั้นระบบก็จะส่งผู้เยี่ยมชมไปยังโฮสต์ที่เป็นห่วงโซ่ของการดาวน์โหลดมัลแวร์ร้ายต่างๆ
      
       ด้วยกลไกการแพร่ระบาดที่มาในรูปของห่วงโซ่ที่สลับซับซ้อนโดยอาศัยเจ้าของเว็บไซต์ที่ไม่รู้ว่าตนเองตกอยู่ในอันตรายและผู้ใช้เว็บไซต์ที่ไม่ระวังในการท่องเว็บที่ดูเหมือนว่าเป็นเว็บที่ปกติ ซึ่งทั้งหมดนี้ทำให้เครื่องคอมพิวเตอร์ของผู้ใช้งานติดเชื้อไวรัสได้โดยไม่รู้ตัว ซึ่งขั้นตอนการแพร่ระบาดนั้นเริ่มจาก
      
       1. ยูอาร์แอลระดับแรกเป็นเว็บไซต์ที่ดูปกติแต่ถูกเจาะระบบ (แฮค) จนกลายเป็นเว็บไซต์อันตราย ในตอนแรกนั้น เว็บไซต์ในอิตาลีที่เป็นเหยื่อส่วนใหญ่จะเป็นเว็บไซต์ที่เกี่ยวกับการประชาสัมพันธ์บริการท้องถิ่นสำหรับการท่องเที่ยว โรงแรม บริการรถยนต์ ดนตรี ล็อตเตอรี่ และอื่นๆ
      
       2.เว็บไซต์เหล่านี้ถูกเจาะระบบและที่อยู่ไอพี (IP Address) อันตราย ( HTML_IFRAME.CU) ถูกแทรกหรือใส่เข้าไว้ในรหัสเอชทีเอ็มแอลของเว็บไซต์ที่เป็นปกติดังกล่าว เมื่อผู้ใช้หลงเข้ามาในเว็บนี้ ก็จะถูกเปลี่ยนทิศทางไปยังอีกไซต์ด้วยตัวดาวน์โหลดจาวาสคริปต์ (JS_DLOADER.NTJ) สิ่งเหล่านี้ถือเป็นยูอาร์แอลระดับที่สองและสาม
      
       3.ยูอาร์แอลระดับที่สามนี้จะดาวน์โหลดโทรจันอีกตัวลงในระบบเป้าหมายจากยูอาร์แอลระดับที่สี่ ซึ่งก็คือยูอาร์แอลของ TROJ_SMALL.HCK 4. ต่อมาโทรจันดังกล่าวจะดาวน์โหลดโทรจันเพิ่มอีกสองตัวจากยูอาร์แอลระดับที่ห้า ซึ่งก็คือยูอาร์แอลของ TROJ_AGENT.UHL และ TROJ_PAKES.NC ซึ่งเทรนด์ ไมโครสามารถปิดกั้นโทรจันทั้งสองตัวนี้ได้ 5.โทรจัน PAKES จะดาวน์โหลดตัวขโมยข้อมูล ซึ่งเป็นสายพันธุ์ของโทรจัน SINOWAL จากยูอาร์แอลระดับที่หกอีกตัว

 

      
       เมื่อผู้ใช้เยี่ยมชมเว็บไซต์ดังกล่าว คอมพิวเตอร์ที่ติดเชื้อจะถูกส่งไปยังที่อยู่ไอพีอื่นที่มีจาวาสคริปต์ร้ายที่ชื่อว่า JS_DLOADER.NTJ ซึ่งเทรนด์ ไมโครตรวจพบ จากนั้นจาวาสคริปต์นี้จะดาวน์โหลดสมาชิกใหม่ที่ชื่อวา TROJ_SMALL.HCK และพยายามทำให้เกิดหน่วยความจำล้นกับบราวเซอร์อินเทอร์เน็ตของผู้ใช้ โดยใช้ JS_DLOADER.NTJ ซึ่งอาศัยช่องโหว่ของบราวเซอร์เป็นตัวนำ ด้วยวิธีการดังกล่าว จะทำให้ระบบที่ติดเชื้อสามารถดาวน์โหลด TROJ_SMALL.HCK ได้ และในการทดสอบเบื้องต้น เทรนด์แล็บส์สังเกตว่าจาวาสคริปต์ร้ายนี้สามารถเลือกช่องโหว่ที่จะใช้ผ่านการใช้งานของบราวเซอร์ได้
      
       TROJ_SMALL.HCK จะดาวน์โหลด TROJ_AGENT.UHL และ TROJ_PAKES.NC  โดย TROJ_AGENT.UHL สามารถทำตัวเป็นพร็อกซี่เซิร์ฟเวอร์ที่จะทำให้ผู้ใช้ระยะไกลสามารถเชื่อมต่ออินเทอร์เน็ตแบบไม่แสดงตนผ่านทางคอมพิวเตอร์ที่ติดเชื้อ ในขณะที่ TROJ_PAKES.NC จะถูกส่งไปไว้ยังโฟลเดอร์ชั่วคราวของผู้ใช้ และดาวน์โหลดตัวขโมยข้อมูลคีย์ล็อกกิ้ง (การกดแป้นพิมพ์ของผู้ใช้) ที่ชื่อว่า TSPY_SINOWAL.BJ
      
       สำหรับการโจมตีที่ค้นพบเมื่อเร็วๆ นี้ นับเป็นครั้งที่สองของการโจมตีในลักษณะดังกล่าว ซึ่งใช้ประโยชน์จากเว็บไซต์อิตาลีจำนวนมากเพื่อแพร่กระจายจาวาสคริปต์ร้าย สำหรับข้อมูลเพิ่มเติมเกี่ยวกับการโจมตีดังกล่าว

CyberBiz at Manager
JS_DLOADER.NTJ at Trend Micro
HTML_IFRAME.CU at Trend Micro