เว็บไซต์ไทยเซิร์ต (www.thaicert.or.th) ของศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์ประเทศไทย (ไทยเซิร์ต) สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (องค์การมหาชน) ประกาศการแจ้งเตือนภัยคุกคามสำหรับผู้ใช้งานคอมพิวเตอร์ทั่วไป กรณี เว็บไซต์สำนักข่าวหลายแห่งในประเทศไทยถูกเจาะ ฝังโทรจันที่หลอกให้ดาวน์โหลดแอนตี้ไวรัสปลอม โดยมีใจความดังนี้:


เมื่อวันที่ 12 มิถุนายน 2556 ทีมไทยเซิร์ตได้พบว่าเว็บไซต์ของสำนักข่าวหลายแห่งในประเทศไทยได้ถูกเจาะ ระบบเพื่อฝังโทรจันที่โจมตีผ่านช่องโหว่ของจาวา (Java) ดังรูป ซึ่งโทรจันนี้สามารถถูกติดตั้งลงในเครื่องคอมพิวเตอร์ของผู้ใช้ได้ในทันที ที่เข้าเว็บไซต์ดังกล่าว (Drive-by-Download)

โทรจันจะตรวจสอบการใช้งานเบราวเซอร์เมื่อพบว่าผู้ใช้ล็อกอินเข้าใช้งานเว็บไซต์ของธนาคารออนไลน์ในประเทศไทยโทรจันจะแทรกหน้าจอสำหรับกรอกข้อมูลหมายเลขโทรศัพท์มือถือ ดังรูปที่ 2 ซึ่งหากผู้ใช้หลงเชื่อและกรอกข้อมูลลงไป จะมี SMS พร้อมลิงก์สำหรับดาวน์โหลดแอพพลิเคชันของแอนดรอยด์ ส่งมาที่โทรศัพท์มือถือ จุดประสงค์ของแอพพลิเคชันดังกล่าวนี้คือดักรับข้อมูล SMS OTP ที่ผู้ใช้จะได้รับเมื่อล็อกอินเข้าใช้งานเว็บไซต์ธนาคาร ตามรายละเอียดที่ไทยเซิร์ตเคยแจ้งเตือนไปก่อนหน้านี้

 

ผู้ใช้จะสังเกตได้ยากว่าเว็บไซต์ของธนาคารถูกเปลี่ยนเนื่องจากการทำงานของโทรจันจะเข้าไปแก้ไขข้อมูลที่แสดงผลอยู่ในเบราว์เซอร์ไม่ใช่การสร้างเว็บไซต์ปลอม ทำให้การเชื่อมต่อแบบ HTTPS และข้อมูลใบรับรองดิจิทัล (Digital Certificate) ที่แสดงอยู่ในเว็บไซต์ เป็นใบรับรองฯ จริงของธนาคาร

ทางไทยเซิร์ตได้ติดต่อไปยังผู้ดูแลเว็บไซต์ของสำนักพิมพ์ที่ได้รับผลกระทบ รวมทั้งประสานงานกับหน่วยงาน CERT ในประเทศที่เกี่ยวข้อง เพื่อขอความร่วมมือในการแก้ไขช่องโหว่และปิดเว็บไซต์ที่เผยแพร่โทรจันแล้ว อย่างไรก็ตาม ผู้ที่เข้าใช้งานเว็บไซต์ของสำนักพิมพ์ในตอนที่ถูกเจาะระบบอาจถูกติดตั้งโทรจันลงในเครื่องได้


ผลกระทบ

ผู้ใช้ที่เข้าเว็บไซต์ของสำนักพิมพ์ที่ถูกเจาะระบบเพื่อฝังมัลแวร์ดังกล่าวอาจถูกติดตั้งมัลแวร์ลงในเครื่องคอมพิวเตอร์และอาจถูกหลอกให้ติดตั้งมัลแวร์ลงในโทรศัพท์มือถือ เพื่อที่ผู้ไม่หวังดีสามารถขโมยเงินจากธนาคารได้


ระบบที่ได้รับผลกระทบ

ระบบปฏิบัติการ Windows ที่ติดตั้ง Java, Internet Explorer โทรศัพท์มือถือหรือแท็บเล็ตที่ใช้ระบบปฏิบัติการ Android

ผู้ที่เข้าใช้งานเว็บไซต์สำนักข่าวในประเทศไทยที่ถูกฝังโทรจัน ในวันที่ 12 - 13 มิถุนายน 2556 (หรืออาจรวมถึงช่วงก่อนหน้านั้น)

หมายเหตุ: ข้อมูลเวอร์ชั่นของระบบปฏิบัติการและซอฟต์แวร์ที่ได้รับผลกระทบ อยู่ระหว่างการตรวจสอบ ทางทีมไทยเซิร์ตจะแจ้งให้ทราบต่อไป


ข้อแนะนำในการป้องกันและแก้ไข


วิธีการตรวจสอบ

หลังจากที่ผู้ใช้เข้าใช้งานเว็บไซต์ที่มีโทรจันฝังอยู่ไฟล์ของโทรจันจะถูกติดตั้งลงในเครื่องคอมพิวเตอร์และมีการตั้งค่าระบบให้มีการเรียกใช้งานไฟล์ดังกล่าวทุกครั้งที่เปิดเครื่อง

เนื่องจากว่าไฟล์ของโทรจันถูกซ่อนไว้ในการลบไฟล์ดังกล่าวผู้ใช้จำเป็นต้องตั้งค่าระบบให้แสดงผลไฟล์และโฟลเดอร์ที่ถูกซ่อน โดยคลิกที่ปุ่ม Organize เลือก Folder and search options คลิกที่แท็บ View แล้วคลิกที่ตัวเลือก Show hidden files, folder, and drives

 

แสดงการตั้งเพื่อแสดงไฟล์ที่ซ่อนอยู่

จากนั้นให้ตรวจสอบว่ามีไฟล์ตามตัวอย่างรายชื่อด้านล่างอยู่ในเครื่องหรือไม่

C:UsersadminAppDataLocalTempfvJcrgR.exe(ชื่อไฟล์สุ่มขนาดไฟล์ 64000 bytes)
C:UsersadminAppDataRoamingKB00695775.exe (ชื่อไฟล์ KB ตามด้วยหมายเลขสุ่ม 8 ตัว)
C:UsersadminAppDataLocalTempPOSDDA1.tmp
C:UsersadminAppDataLocalTempPOSDDA1.tmp.BAT
C:UsersadminAppDataLocalTempPOSDDA1.tmp.BAT
หากพบไฟล์ที่มีลักษณะคล้ายคลึงกันอาจเป็นไปได้ว่าเครื่องคอมพิวเตอร์ที่ใช้งานอยู่ได้ติดโทรจันแล้ว


วิธีการแก้ไข

หากพบว่ามีไฟล์ของโทรจันอยู่ในเครื่องอาจไม่สามารถลบไฟล์ดังกล่าวได้ด้วยวิธีปกติเนื่องจากโทรจันกำลังเรียกใช้งานไฟล์ดังกล่าวอยู่ วิธีการลบไฟล์อาจทำได้โดยเข้าไปลบใน Safe mode ซึ่งสามารถทำได้โดยการ Restart เครื่องแล้วกดปุ่ม F8 ก่อนที่หน้าจอจะปรากฏโลโก้ของ Windows

วิธีการเข้า Safe mode ของระบบปฏิบัติการ Windows เวอร์ชั่นต่างๆ มีดังนี้

Windows XP (คลิ๊ก)
Windows Vista
Windows 7
Windows 8


วิธีการป้องกัน

1. จากการตรวจสอบพบว่าหากเครื่องคอมพิวเตอร์ที่ติดตั้ง Java 6 เปิดเข้าใช้งานเว็บไซต์ที่มีโทรจันฝังอยู่ โทรจันดังกล่าวจะถูกดาวน์โหลดและถูกเรียกใช้งานที่เครื่องของผู้ใช้โดยทันที

แต่จากการตรวจสอบบนระบบที่ติดตั้งJava7 Update 21 ซึ่งเป็นเวอร์ชั่นล่าสุด พบว่าจะมีหน้าจอแจ้งเตือนการใช้งาน Java Applet ที่อาจไม่ปลอดภัย ดังรูปที่ 5 หากผู้ใช้งานคลิกปุ่ม Cancel โทรจันดังกล่าวจะไม่ถูกเรียกใช้งาน

 

ตัวอย่างหน้าจอการแจ้งเตือนเมื่อเปิดเว็บไซต์ด้วย Java 7 Update 21

ผู้ใช้สามารถอัพเดท Java ให้เป็นเวอร์ชั่นล่าสุด โดยดาวน์โหลดได้ที่่ http://www.java.com/en/download/

2. ผู้ใช้ควรสังเกตการแจ้งเตือนของเว็บเบราว์เซอร์ ในกรณีที่ได้รับการแจ้งเตือนว่าเว็บไซต์นั้นไม่ปลอดภัย ไม่ควรเข้าใช้งานเว็บไซต์นั้น

 

ตัวอย่างการแจ้งเตือนของ Google Chrome

3. หากเครื่องของผู้ใช้ไม่มีความจำเป็นต้องใช้งาน Java ควรพิจารณาถอนการติดตั้ง Java ออก หรือปิดการทำงานของ Java ในเว็บเบราว์เซอร์เป็นอย่างน้อย

อย่างไรก็ตาม ในขณะนี้ทางไทยเซิร์ตกำลังอยู่ระหว่างการวิเคราะห์ข้อมูลของโทรจัน และจะอัพเดตข้อมูลที่พบเพิ่มเติมในโอกาสต่อไป


ขอขอบคุณข้อมูลจาก : www.thaicert.or.th/alerts/user/2013/al2013us008.html