การติดเชื้อเว็บไซต์ด้วยสคริปต์การขุดคริปโต
แฮกเกอร์ได้ติดเชื้อเว็บไซต์มากกว่า 3,500 แห่ง ด้วยสคริปต์การขุดคริปโตที่ซ่อนตัว ซึ่งแอบแฝงเข้ามาในเบราว์เซอร์ของผู้เข้าชมเพื่อสร้าง Monero ซึ่งเป็นคริปโตที่มุ่งเน้นความเป็นส่วนตัวและออกแบบมาเพื่อทำให้การทำธุรกรรมยากต่อการติดตาม.
มัลแวร์นี้ไม่ได้ขโมยรหัสผ่านหรือล็อคไฟล์ แต่จะเปลี่ยนเบราว์เซอร์ของผู้เข้าชมให้กลายเป็นเครื่องขุด Monero โดยเงียบ ๆ ดูดพลังการประมวลผลเล็กน้อยโดยไม่ได้รับความยินยอมจากผู้ใช้.
แคมเปญนี้ยังคงดำเนินอยู่ในขณะที่เขียนรายงานนี้ และถูกค้นพบครั้งแรกโดยนักวิจัยที่บริษัทความปลอดภัยไซเบอร์ c/side. “โดยการจำกัดการใช้ CPU และซ่อนการจราจรใน WebSocket สตรีม มันหลีกเลี่ยงสัญญาณที่ชัดเจนของการขุดคริปโตแบบดั้งเดิม” c/side เปิดเผยเมื่อวันศุกร์.
การขุดคริปโต (Cryptojacking)
การขุดคริปโต (Cryptojacking) บางครั้งสะกดเป็นคำเดียว คือการใช้เครื่องมือของผู้อื่นโดยไม่ได้รับอนุญาตเพื่อขุดคริปโต โดยทั่วไปแล้วจะเกิดขึ้นโดยที่เจ้าของไม่รู้ตัว.
เทคนิคนี้เริ่มได้รับความสนใจในวงกว้างในช่วงปลายปี 2017 เมื่อ Coinhive ซึ่งเป็นบริการที่ตอนนี้เลิกกิจการไปแล้ว ได้ครองตลาดการขุดคริปโตชั่วคราวก่อนที่จะถูกปิดในปี 2019.
ในปีเดียวกันนั้น รายงานเกี่ยวกับความแพร่หลายของมันเริ่มขัดแย้งกัน โดยบางรายบอกกับ Decrypt ว่ามันยังไม่กลับไปสู่ “ระดับก่อนหน้า” แม้ว่าห้องปฏิบัติการวิจัยภัยคุกคามบางแห่งจะยืนยันว่ามีการเพิ่มขึ้น 29% ในขณะนั้น.
การกลับมาของกลยุทธ์การขุดคริปโต
ผ่านไปกว่า 5 ปี กลยุทธ์นี้ดูเหมือนจะกลับมาอย่างเงียบ ๆ โดยปรับเปลี่ยนจากสคริปต์ที่เสียงดังและทำให้ CPU ทำงานหนักไปเป็นเครื่องขุดที่มีโปรไฟล์ต่ำซึ่งสร้างขึ้นเพื่อความลับและความต่อเนื่อง.
แคมเปญในปัจจุบันแพร่กระจายอย่างเงียบ ๆ ไปทั่วเว็บไซต์หลายพันแห่ง ตามแผนการใหม่ที่ c/side กล่าวว่ามุ่งหวังที่จะ “อยู่ต่ำ ขุดช้า”.
การเปลี่ยนแปลงในกลยุทธ์นี้ไม่ใช่เรื่องบังเอิญ ตามที่นักวิจัยด้านความปลอดภัยข้อมูลที่คุ้นเคยกับแคมเปญนี้ซึ่งพูดคุยกับ Decrypt โดยไม่เปิดเผยชื่อ.
“กลุ่มนี้ดูเหมือนจะนำโครงสร้างพื้นฐานเก่ามาใช้ใหม่เพื่อให้ความสำคัญกับการเข้าถึงระยะยาวและรายได้แบบพาสซีฟ”
Decrypt ได้รับข้อมูลว่า “กลุ่มเหล่านี้น่าจะควบคุมเว็บไซต์ WordPress ที่ถูกแฮกและร้านค้าอีคอมเมิร์ซหลายพันแห่งจากแคมเปญ Magecart ในอดีต”.
แคมเปญ Magecart คือการโจมตีที่แฮกเกอร์ฉีดโค้ดที่เป็นอันตรายเข้าไปในหน้าชำระเงินออนไลน์เพื่อขโมยข้อมูลการชำระเงิน.
วิธีการทำงานของสคริปต์การขุดคริปโต
“การปลูกฝังเครื่องขุดนั้นง่ายมาก พวกเขาเพียงแค่เพิ่มสคริปต์อีกหนึ่งตัวเพื่อโหลด JS ที่ถูกปกปิด โดยใช้การเข้าถึงที่มีอยู่” นักวิจัยกล่าว.
แต่สิ่งที่โดดเด่น นักวิจัยกล่าว คือวิธีที่แคมเปญนี้ดำเนินการอย่างเงียบ ๆ ทำให้ยากต่อการตรวจจับด้วยวิธีการเก่า.
“วิธีหนึ่งที่สคริปต์การขุดคริปโตในอดีตถูกตรวจจับคือการใช้ CPU ที่สูง” Decrypt ได้รับข้อมูล.
“คลื่นใหม่นี้หลีกเลี่ยงสิ่งนั้นโดยการใช้เครื่องขุด WebAssembly ที่ถูกจำกัดซึ่งอยู่ใต้เรดาร์ โดยจำกัดการใช้ CPU และสื่อสารผ่าน WebSockets”.
WebAssembly ช่วยให้โค้ดทำงานได้เร็วขึ้นภายในเบราว์เซอร์ ขณะที่ WebSockets รักษาการเชื่อมต่อที่ต่อเนื่องกับเซิร์ฟเวอร์.
เมื่อรวมกันแล้ว สิ่งเหล่านี้ช่วยให้เครื่องขุดคริปโตทำงานได้โดยไม่ดึงดูดความสนใจ.
ความเสี่ยงที่เกิดขึ้น
ความเสี่ยงไม่ได้ “มุ่งเป้าไปที่ผู้ใช้คริปโตโดยตรง เนื่องจากสคริปต์ไม่ได้ทำให้กระเป๋าเงินหมด แต่ในทางเทคนิค พวกเขาสามารถเพิ่มตัวทำลายกระเป๋าเงินลงในโหลดได้” นักวิจัยที่ไม่เปิดเผยชื่อกล่าวกับ Decrypt.
“เป้าหมายที่แท้จริงคือเจ้าของเซิร์ฟเวอร์และแอปเว็บ” พวกเขาเสริม.
