เรื่องนี้เริ่มจากระบบชื่อ VexTrio ที่เหมือน “ตัวกลางกระจายทราฟฟิกแบบมืด” (Traffic Distribution System – TDS) ซึ่งแฮกเกอร์ใช้เพื่อพาผู้ใช้ไปยังเพจหลอก, โฆษณาปลอม, หรือ malware
พวกเขาทำงานร่วมกับระบบโฆษณาที่ดูเหมือนถูกกฎหมายอย่าง Los Pollos, Partners House และ RichAds โดยแนบ JavaScript แฝงลงในเว็บ WordPress ผ่าน plugin ที่มีช่องโหว่ แล้วใช้ DNS TXT record เป็นช่องสื่อสารลับว่าจะเปลี่ยนเส้นทางผู้ใช้ไปไหน
จุดพีคคือ...บางโฆษณาและ push notification ที่คุณเห็น มาจาก แพลตฟอร์มจริง ๆ เช่น Google Firebase หรือระบบ affiliate network ที่ถูกใช้เป็นหลังบ้านของแคมเปญ! ไม่ใช่การหลอกผ่าน phishing หรือมัลแวร์จาก email โดยตรงเหมือนเมื่อก่อน
ที่น่าห่วงคือ มันอาจดูเหมือน CAPTCHA ธรรมดา, ป๊อปอัปเตือนว่า "มีไวรัส", หรือแบนเนอร์ว่า "คุณได้รับรางวัล" แต่ถ้าคลิกเปิดการแจ้งเตือนปุ๊บ — โค้ดฝั่งแฮกเกอร์จะรอส่งมัลแวร์หรือ phishing link เข้ามาทันที 😵💫
✅ มีเครือข่ายการเปลี่ยนเส้นทางสู่มัลแวร์ระดับโลกผ่านระบบที่ดูถูกต้องตามกฎหมาย
• ใช้ระบบ TDS ชื่อ VexTrio, Help, Disposable
• พ่วงเข้ากับ adtech เช่น RichAds, Los Pollos, Partners House
✅ ช่องทางแพร่ระบาดมักผ่าน WordPress plugin ที่ถูกแฮก
• ใส่ JavaScript ซ่อนไว้ให้ redirect แบบแนบเนียน
• ใช้ DNS TXT records เป็นระบบควบคุมคำสั่ง
✅ Push Notification กลายเป็นช่องโจมตีใหม่
• หลอกด้วย CAPTCHA ปลอมให้ผู้ใช้กด “ยอมรับการแจ้งเตือน” • หลังจากนั้นจะส่งมัลแวร์ได้ผ่านเบราว์เซอร์โดยไม่เตือน
✅ โค้ดมัลแวร์ reuse script ร่วมกันหลายโดเมน
• มีพฤติกรรมคล้ายกัน เช่น ปิดปุ่ม back, redirect หลายชั้น, ปลอมหน้า sweepstake
✅ ระบบหลอกลวงอาจส่งผ่านบริการถูกกฎหมาย เช่น Google Firebase
• ทำให้ Antivirus บางระบบตรวจจับไม่ได้
✅ พบความผิดปกติจากการวิเคราะห์ DNS มากกว่า 4.5 ล้าน response
• ระหว่าง ส.ค.–ธ.ค. 2024 โดย Infoblox Threat Intelligence
‼️ แม้จะเข้าเว็บจริง แต่เบราว์เซอร์อาจแสดง Push Notification หรือเบอร์หลอกโดยไม่รู้ตัว
• โดยเฉพาะถ้าเคย “ยอมรับแจ้งเตือน” มาก่อนจากหน้า CAPTCHA ปลอม
‼️ DNS TXT record ถูกใช้เป็น backchannel สำหรับสั่งงาน malware
• ระบบความปลอดภัยที่ไม่ตรวจ DNS anomalies อาจมองไม่เห็นเลย
‼️ แพลตฟอร์มโฆษณาที่ “ดูถูกต้อง” ก็อาจเป็นคนกลางในระบบ malware
• เพราะรู้จักตัวตนของ “affiliate” ที่ส่ง traffic อยู่แล้ว แต่ไม่จัดการ
‼️ หากใช้ WordPress ต้องหมั่นอัปเดต plugin และตรวจความผิดปกติของ DNS/JS script
• โดยเฉพาะถ้ามี script ที่ไม่รู้จัก ฝังอยู่ในไฟล์ footer หรือ functions.php
https://www.techradar.com/pro/security/wordpress-hackers-are-teaming-up-with-commercial-adtech-firms-to-distribute-malware-to-millions-of-users-heres-how-to-stay-safe
พวกเขาทำงานร่วมกับระบบโฆษณาที่ดูเหมือนถูกกฎหมายอย่าง Los Pollos, Partners House และ RichAds โดยแนบ JavaScript แฝงลงในเว็บ WordPress ผ่าน plugin ที่มีช่องโหว่ แล้วใช้ DNS TXT record เป็นช่องสื่อสารลับว่าจะเปลี่ยนเส้นทางผู้ใช้ไปไหน
จุดพีคคือ...บางโฆษณาและ push notification ที่คุณเห็น มาจาก แพลตฟอร์มจริง ๆ เช่น Google Firebase หรือระบบ affiliate network ที่ถูกใช้เป็นหลังบ้านของแคมเปญ! ไม่ใช่การหลอกผ่าน phishing หรือมัลแวร์จาก email โดยตรงเหมือนเมื่อก่อน
ที่น่าห่วงคือ มันอาจดูเหมือน CAPTCHA ธรรมดา, ป๊อปอัปเตือนว่า "มีไวรัส", หรือแบนเนอร์ว่า "คุณได้รับรางวัล" แต่ถ้าคลิกเปิดการแจ้งเตือนปุ๊บ — โค้ดฝั่งแฮกเกอร์จะรอส่งมัลแวร์หรือ phishing link เข้ามาทันที 😵💫
✅ มีเครือข่ายการเปลี่ยนเส้นทางสู่มัลแวร์ระดับโลกผ่านระบบที่ดูถูกต้องตามกฎหมาย
• ใช้ระบบ TDS ชื่อ VexTrio, Help, Disposable
• พ่วงเข้ากับ adtech เช่น RichAds, Los Pollos, Partners House
✅ ช่องทางแพร่ระบาดมักผ่าน WordPress plugin ที่ถูกแฮก
• ใส่ JavaScript ซ่อนไว้ให้ redirect แบบแนบเนียน
• ใช้ DNS TXT records เป็นระบบควบคุมคำสั่ง
✅ Push Notification กลายเป็นช่องโจมตีใหม่
• หลอกด้วย CAPTCHA ปลอมให้ผู้ใช้กด “ยอมรับการแจ้งเตือน” • หลังจากนั้นจะส่งมัลแวร์ได้ผ่านเบราว์เซอร์โดยไม่เตือน
✅ โค้ดมัลแวร์ reuse script ร่วมกันหลายโดเมน
• มีพฤติกรรมคล้ายกัน เช่น ปิดปุ่ม back, redirect หลายชั้น, ปลอมหน้า sweepstake
✅ ระบบหลอกลวงอาจส่งผ่านบริการถูกกฎหมาย เช่น Google Firebase
• ทำให้ Antivirus บางระบบตรวจจับไม่ได้
✅ พบความผิดปกติจากการวิเคราะห์ DNS มากกว่า 4.5 ล้าน response
• ระหว่าง ส.ค.–ธ.ค. 2024 โดย Infoblox Threat Intelligence
‼️ แม้จะเข้าเว็บจริง แต่เบราว์เซอร์อาจแสดง Push Notification หรือเบอร์หลอกโดยไม่รู้ตัว
• โดยเฉพาะถ้าเคย “ยอมรับแจ้งเตือน” มาก่อนจากหน้า CAPTCHA ปลอม
‼️ DNS TXT record ถูกใช้เป็น backchannel สำหรับสั่งงาน malware
• ระบบความปลอดภัยที่ไม่ตรวจ DNS anomalies อาจมองไม่เห็นเลย
‼️ แพลตฟอร์มโฆษณาที่ “ดูถูกต้อง” ก็อาจเป็นคนกลางในระบบ malware
• เพราะรู้จักตัวตนของ “affiliate” ที่ส่ง traffic อยู่แล้ว แต่ไม่จัดการ
‼️ หากใช้ WordPress ต้องหมั่นอัปเดต plugin และตรวจความผิดปกติของ DNS/JS script
• โดยเฉพาะถ้ามี script ที่ไม่รู้จัก ฝังอยู่ในไฟล์ footer หรือ functions.php
https://www.techradar.com/pro/security/wordpress-hackers-are-teaming-up-with-commercial-adtech-firms-to-distribute-malware-to-millions-of-users-heres-how-to-stay-safe
เรื่องนี้เริ่มจากระบบชื่อ VexTrio ที่เหมือน “ตัวกลางกระจายทราฟฟิกแบบมืด” (Traffic Distribution System – TDS) ซึ่งแฮกเกอร์ใช้เพื่อพาผู้ใช้ไปยังเพจหลอก, โฆษณาปลอม, หรือ malware
พวกเขาทำงานร่วมกับระบบโฆษณาที่ดูเหมือนถูกกฎหมายอย่าง Los Pollos, Partners House และ RichAds โดยแนบ JavaScript แฝงลงในเว็บ WordPress ผ่าน plugin ที่มีช่องโหว่ แล้วใช้ DNS TXT record เป็นช่องสื่อสารลับว่าจะเปลี่ยนเส้นทางผู้ใช้ไปไหน
จุดพีคคือ...บางโฆษณาและ push notification ที่คุณเห็น มาจาก แพลตฟอร์มจริง ๆ เช่น Google Firebase หรือระบบ affiliate network ที่ถูกใช้เป็นหลังบ้านของแคมเปญ! ไม่ใช่การหลอกผ่าน phishing หรือมัลแวร์จาก email โดยตรงเหมือนเมื่อก่อน
ที่น่าห่วงคือ มันอาจดูเหมือน CAPTCHA ธรรมดา, ป๊อปอัปเตือนว่า "มีไวรัส", หรือแบนเนอร์ว่า "คุณได้รับรางวัล" แต่ถ้าคลิกเปิดการแจ้งเตือนปุ๊บ — โค้ดฝั่งแฮกเกอร์จะรอส่งมัลแวร์หรือ phishing link เข้ามาทันที 😵💫
✅ มีเครือข่ายการเปลี่ยนเส้นทางสู่มัลแวร์ระดับโลกผ่านระบบที่ดูถูกต้องตามกฎหมาย
• ใช้ระบบ TDS ชื่อ VexTrio, Help, Disposable
• พ่วงเข้ากับ adtech เช่น RichAds, Los Pollos, Partners House
✅ ช่องทางแพร่ระบาดมักผ่าน WordPress plugin ที่ถูกแฮก
• ใส่ JavaScript ซ่อนไว้ให้ redirect แบบแนบเนียน
• ใช้ DNS TXT records เป็นระบบควบคุมคำสั่ง
✅ Push Notification กลายเป็นช่องโจมตีใหม่
• หลอกด้วย CAPTCHA ปลอมให้ผู้ใช้กด “ยอมรับการแจ้งเตือน” • หลังจากนั้นจะส่งมัลแวร์ได้ผ่านเบราว์เซอร์โดยไม่เตือน
✅ โค้ดมัลแวร์ reuse script ร่วมกันหลายโดเมน
• มีพฤติกรรมคล้ายกัน เช่น ปิดปุ่ม back, redirect หลายชั้น, ปลอมหน้า sweepstake
✅ ระบบหลอกลวงอาจส่งผ่านบริการถูกกฎหมาย เช่น Google Firebase
• ทำให้ Antivirus บางระบบตรวจจับไม่ได้
✅ พบความผิดปกติจากการวิเคราะห์ DNS มากกว่า 4.5 ล้าน response
• ระหว่าง ส.ค.–ธ.ค. 2024 โดย Infoblox Threat Intelligence
‼️ แม้จะเข้าเว็บจริง แต่เบราว์เซอร์อาจแสดง Push Notification หรือเบอร์หลอกโดยไม่รู้ตัว
• โดยเฉพาะถ้าเคย “ยอมรับแจ้งเตือน” มาก่อนจากหน้า CAPTCHA ปลอม
‼️ DNS TXT record ถูกใช้เป็น backchannel สำหรับสั่งงาน malware
• ระบบความปลอดภัยที่ไม่ตรวจ DNS anomalies อาจมองไม่เห็นเลย
‼️ แพลตฟอร์มโฆษณาที่ “ดูถูกต้อง” ก็อาจเป็นคนกลางในระบบ malware
• เพราะรู้จักตัวตนของ “affiliate” ที่ส่ง traffic อยู่แล้ว แต่ไม่จัดการ
‼️ หากใช้ WordPress ต้องหมั่นอัปเดต plugin และตรวจความผิดปกติของ DNS/JS script
• โดยเฉพาะถ้ามี script ที่ไม่รู้จัก ฝังอยู่ในไฟล์ footer หรือ functions.php
https://www.techradar.com/pro/security/wordpress-hackers-are-teaming-up-with-commercial-adtech-firms-to-distribute-malware-to-millions-of-users-heres-how-to-stay-safe
0 Comments
0 Shares
24 Views
0 Reviews
Thai