แฮกเกอร์ วางยา SEO แพร่กระจายมัลแวร์ BadIIS เปลี่ยนเส้นทางเยี่ยมชมเว็บของเหยื่อไปเว็บพนัน และเว็บโป๊

ผู้อ่านหลายคนอาจสงสัยว่าทำไมค้นหาอะไรบน Google มักจะติดเว็บปลอม เว็บโป๊ เว็บพนัน ขึ้นมาบ่อยครั้ง นั่นก็เพราะวิธีการของแฮกเกอร์ที่ใช้วิธีการวางยาการค้นหา หรือ SEO (Search Engine Optimization) Poisoning ทำให้เว็บไม่พึงประสงค์ปรากฏขึ้นมาให้เห็น เพื่อล่อลวงเหยื่อให้เข้าใช้งาน และกรณีนี้ก็ได้เป็นประเด็นขึ้นมาอีกครั้ง

จากรายงานโดยเว็บไซต์ The Hacker News ได้กล่าวถึงการที่ทางทีมวิจัย Unit 42 ซึ่งเป็นหน่วยงานย่อยของบริษัท Palo Alto บริษัทผู้พัฒนาเทคโนโลยีด้านเครือข่ายที่โด่งดัง ได้ตรวจพบแคมเปญการแพร่กระจายมัลแวร์ BadIIS ด้วยวิธีการ SEO Poisoning โดยกลุ่มแฮกเกอร์ลึกลับจากจีน ภายใต้ชื่อปฏิบัติการ Operation Rewrite หรือ CL-UNK-1037 โดยมุ่งเน้นการโจมตีในแถบอาณาเขตเอเชียตะวันออก และเอเชียตะวันออกเฉียงใต้ โดยเฉพาะประเทศเวียดนาม ที่พบการโจมตีที่มากเป็นพิเศษเสมือนเป็นเป้าหมายหลักของแฮกเกอร์กลุ่มดังกล่าว

โดยการแพร่กระจายมัลแวร์ BadIIS นั้นหลังจากที่แฮกเกอร์ทำการฝังมัลแวร์ดังกล่าวลงบนเซิร์ฟเวอร์ที่ถูกแฮกแล้ว ตัวมัลแวร์จะทำการยิง (Injection) ชุดคำ (Keyword) และ วลี (Phrase) ลงบนเว็บไซต์ที่ถูกเลือก ซึ่งมักจะเป็นเว็บไซต์ที่มีคะแนนโดเมนที่สูง มีความน่าเชื่อถือมาก รวมถึงมีการฝังโค้ดพิเศษไว้บนส่วนหัว หรือ Header ของเว็บไซต์ เพื่อดักจับผู้เข้าเยี่ยมชม (Visitors) ที่เป็นเครื่องมือจัดลำดับเว็บไซต์ (Crawler) ที่ถูกส่งมาโดย Search Engine ซึ่งตัวโค้ดจะทำการป้อนคอนเทนต์ที่ถูกวางยาด้วยองค์ประกอบข้างต้น (Poisoned Content) ทำให้คอนเทนต์ที่แฮกเกอร์วางกับดักล่อผู้เข้าชมไปปรากฏอยู่บนหน้าแรกของ Search Engine

ซึ่งหลังจากที่เว็บไซต์เหล่านี้ปรากฏบนหน้าแรกของ Search Engine แล้ว เมื่อมีเหยื่อหลงเข้ามาสู่หน้าเว็บไซต์ดังกล่าว ตัวมัลแวร์ก็จะทำการเปลี่ยนเป้าหมายการเยี่ยมชม (Redirect) ทำให้เหยื่อเข้าไปสู่หน้าเว็บไซต์ฉ้อโกง (Scam), เว็บพนัน, เว็บโป๊, หรือเว็บหลอกให้ดาวน์โหลดมัลแวร์แทนที่จะเป็นตัวเว็บไซต์จริง (ที่ถูกแฮกมาเพื่อใช้งานในแคมเปญนี้)

ที่ร้ายกาจมากไปกว่านั้นคือ ทางทีมวิจัยยังพบว่านอกจากตัวมัลแวร์จะสามารถทำงานบนเว็บไซต์ที่ตั้งอยู่บนเซิร์ฟเวอร์ที่ถูกแฮกมาได้แล้วนั้นยังมีความสามารถในการใช้งาน Crawlers ของ Search Engine ในการเข้าถึงเว็บไซต์อื่น เพื่อสร้างบัญชีผู้ใช้งานบนระบบ (Local User Account) แล้วทำการวาง Web Shell ซึ่งเป็นเครื่องมือที่ทำให้แฮกเกอร์สามารถเข้าถึงตัวเว็บไซต์จากระยะไกลได้ไว้บนเว็บไซต์ที่มัลแวร์เข้าถึงผ่าน Crawler หลังจากนั้นมัลแวร์จะใช้งาน Web Shell ในการแกะรหัสต้นฉบับ (Source Code) ส่งกลับไปให้แฮกเกอร์ และทำการอัปโหลดมัลแวร์ BadIIS ฝังไว้บนเว็บไซต์ที่ตกเป็นเหยื่อในท้ายที่สุด

นอกจากวิธีการดังกล่าวแล้ว ทางทีมวิจัยยังได้ตรวจพบเครื่องมืออีก 3 ตัวที่มัลแวร์ BadIIS ใช้งาน ซึ่งการใช้งานแต่ละตัวนั้นจะแตกต่างกันไปแล้วแต่รุ่นของมัลแวร์ดังกล่าว โดยเครื่องมือทั้ง 3 ตัวนั้นมีดังนี้

• ASP.NET Page Handler ขนาดเบา: ใช้ในการทำ SEO Poisoning ด้วยการทำเว็บให้เป็นตัวแทน (Proxy) ตัวคอนเทนต์ SEO ที่ถูกดึงมาจากเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control)
• .NET IIS Module: เป็นเครื่องมือที่ใช้ในการตรวจสอบและดัดแปลงทุก Request ที่เข้ามาผ่านทางแอปพลิเคชันตัวนี้ เพื่อทำการสแปมลิงก์และ Keywords ที่ดึงมาจากเซิร์ฟเวอร์ C2 อีกตัวหนึ่ง
• All-in-One PHP Script: เป็นสคริปท์ที่รวมความสามารถในการทำ SEO Poisoning และการ Redirect การเยี่ยมชมของเหยื่อไปยังเว็บไซต์ปลอม ทั้งหมดรวมไว้ในตัวสคริปท์เดียว

ทั้งนี้ ทางแหล่งข่าวไม่ได้มีการให้ข้อมูลวิธีการป้องกันเว็บไซต์ หรือการกำจัดมัลแวร์ดังกล่าวออกไปจากเว็บไซต์ไว้แต่อย่างใด