“SMILODON” แฝงร้ายในรูปภาพ: มัลแวร์สุดแนบเนียนโจมตีร้านค้า WooCommerce
ลองนึกภาพว่าคุณกำลังดูแลร้านค้าออนไลน์บน WordPress ที่ใช้ WooCommerce อยู่ดีๆ แล้วมีปลั๊กอินใหม่ที่ดูเหมือนจะช่วยเรื่อง SEO หรือระบบล็อกอิน แต่จริงๆ แล้วมันคือมัลแวร์ที่ซ่อนตัวอยู่ในไฟล์ภาพ PNG ปลอม! เรื่องนี้ไม่ใช่แค่จินตนาการ เพราะทีม Wordfence ได้เปิดโปงแคมเปญมัลแวร์ขั้นสูงที่ใช้ชื่อว่า “SMILODON” ซึ่งเป็นผลงานของกลุ่ม Magecart Group 12 ที่ขึ้นชื่อเรื่องการขโมยข้อมูลบัตรเครดิตจากเว็บไซต์อีคอมเมิร์ซ
มัลแวร์นี้แฝงตัวมาในรูปแบบปลั๊กอินปลอมที่มีชื่อคล้ายของจริง เช่น “jwt-log-pro” หรือ “share-seo-assistant” โดยภายในประกอบด้วยไฟล์ PHP และ PNG ปลอมที่ถูกเข้ารหัสและอำพรางอย่างแนบเนียน มันสามารถหลบซ่อนจากรายการปลั๊กอินใน WordPress ได้อย่างเงียบเชียบ และยังสามารถติดตามผู้ใช้ระดับแอดมินผ่านคุกกี้พิเศษเพื่อหลบเลี่ยงการตรวจจับ
ที่น่ากลัวคือ มัลแวร์นี้สามารถดักจับข้อมูลล็อกอินและข้อมูลบัตรเครดิตของลูกค้าได้ โดยใช้ JavaScript ที่ถูกฝังไว้ในหน้าชำระเงินของ WooCommerce ซึ่งจะทำงานหลังจากโหลดหน้าไปแล้ว 3 วินาที เพื่อไม่ให้รบกวนระบบ AJAX ของเว็บไซต์ และยังมีระบบตรวจสอบปลอมเพื่อหลอกให้ผู้ใช้รู้สึกว่าการชำระเงินปลอดภัย
ข้อมูลที่ถูกขโมยจะถูกส่งไปยังเซิร์ฟเวอร์ควบคุมของแฮกเกอร์ และในบางกรณีจะถูกส่งผ่านอีเมลไปยังบัญชีที่เชื่อมโยงกับผู้ให้บริการอีเมลในรัสเซีย
นอกจากนั้น ยังมีการใช้เทคนิค steganography คือการซ่อนโค้ดไว้ในไฟล์ภาพ ซึ่งเป็นวิธีที่นิยมในหมู่แฮกเกอร์ยุคใหม่ เพราะสามารถหลบเลี่ยงระบบตรวจจับมัลแวร์ได้อย่างมีประสิทธิภาพ
การโจมตีผ่านปลั๊กอินปลอมใน WordPress
ปลั๊กอินปลอมมีชื่อคล้ายของจริง เช่น “jwt-log-pro”
ประกอบด้วยไฟล์ PHP และ PNG ปลอมที่ถูกเข้ารหัส
ซ่อนตัวจากรายการปลั๊กอินใน WordPress ได้อย่างแนบเนียน
การดักจับข้อมูลผู้ใช้และข้อมูลบัตรเครดิต
ใช้คุกกี้พิเศษติดตามผู้ใช้ระดับแอดมิน
ดักจับข้อมูลล็อกอินผ่านกระบวนการสองขั้น
ฝัง JavaScript ในหน้าชำระเงินของ WooCommerce
ส่งข้อมูลไปยังเซิร์ฟเวอร์ควบคุมของแฮกเกอร์
เทคนิคการซ่อนโค้ดในไฟล์ภาพ (Steganography)
ใช้ไฟล์ PNG ปลอมที่มีโค้ดเข้ารหัสแบบ base64
มีระบบ payload หลายชั้นเพื่อความต่อเนื่องในการโจมตี
การเชื่อมโยงกับกลุ่ม Magecart Group 12
พบโครงสร้างโค้ดและเซิร์ฟเวอร์ที่เชื่อมโยงกับกลุ่มนี้
เป็นกลุ่มที่มีประวัติการโจมตีเว็บไซต์อีคอมเมิร์ซอย่างต่อเนื่อง
https://securityonline.info/magecart-smilodon-skimmer-infiltrates-woocommerce-via-rogue-plugin-hiding-payload-in-fake-png-image/
ลองนึกภาพว่าคุณกำลังดูแลร้านค้าออนไลน์บน WordPress ที่ใช้ WooCommerce อยู่ดีๆ แล้วมีปลั๊กอินใหม่ที่ดูเหมือนจะช่วยเรื่อง SEO หรือระบบล็อกอิน แต่จริงๆ แล้วมันคือมัลแวร์ที่ซ่อนตัวอยู่ในไฟล์ภาพ PNG ปลอม! เรื่องนี้ไม่ใช่แค่จินตนาการ เพราะทีม Wordfence ได้เปิดโปงแคมเปญมัลแวร์ขั้นสูงที่ใช้ชื่อว่า “SMILODON” ซึ่งเป็นผลงานของกลุ่ม Magecart Group 12 ที่ขึ้นชื่อเรื่องการขโมยข้อมูลบัตรเครดิตจากเว็บไซต์อีคอมเมิร์ซ
มัลแวร์นี้แฝงตัวมาในรูปแบบปลั๊กอินปลอมที่มีชื่อคล้ายของจริง เช่น “jwt-log-pro” หรือ “share-seo-assistant” โดยภายในประกอบด้วยไฟล์ PHP และ PNG ปลอมที่ถูกเข้ารหัสและอำพรางอย่างแนบเนียน มันสามารถหลบซ่อนจากรายการปลั๊กอินใน WordPress ได้อย่างเงียบเชียบ และยังสามารถติดตามผู้ใช้ระดับแอดมินผ่านคุกกี้พิเศษเพื่อหลบเลี่ยงการตรวจจับ
ที่น่ากลัวคือ มัลแวร์นี้สามารถดักจับข้อมูลล็อกอินและข้อมูลบัตรเครดิตของลูกค้าได้ โดยใช้ JavaScript ที่ถูกฝังไว้ในหน้าชำระเงินของ WooCommerce ซึ่งจะทำงานหลังจากโหลดหน้าไปแล้ว 3 วินาที เพื่อไม่ให้รบกวนระบบ AJAX ของเว็บไซต์ และยังมีระบบตรวจสอบปลอมเพื่อหลอกให้ผู้ใช้รู้สึกว่าการชำระเงินปลอดภัย
ข้อมูลที่ถูกขโมยจะถูกส่งไปยังเซิร์ฟเวอร์ควบคุมของแฮกเกอร์ และในบางกรณีจะถูกส่งผ่านอีเมลไปยังบัญชีที่เชื่อมโยงกับผู้ให้บริการอีเมลในรัสเซีย
นอกจากนั้น ยังมีการใช้เทคนิค steganography คือการซ่อนโค้ดไว้ในไฟล์ภาพ ซึ่งเป็นวิธีที่นิยมในหมู่แฮกเกอร์ยุคใหม่ เพราะสามารถหลบเลี่ยงระบบตรวจจับมัลแวร์ได้อย่างมีประสิทธิภาพ
การโจมตีผ่านปลั๊กอินปลอมใน WordPress
ปลั๊กอินปลอมมีชื่อคล้ายของจริง เช่น “jwt-log-pro”
ประกอบด้วยไฟล์ PHP และ PNG ปลอมที่ถูกเข้ารหัส
ซ่อนตัวจากรายการปลั๊กอินใน WordPress ได้อย่างแนบเนียน
การดักจับข้อมูลผู้ใช้และข้อมูลบัตรเครดิต
ใช้คุกกี้พิเศษติดตามผู้ใช้ระดับแอดมิน
ดักจับข้อมูลล็อกอินผ่านกระบวนการสองขั้น
ฝัง JavaScript ในหน้าชำระเงินของ WooCommerce
ส่งข้อมูลไปยังเซิร์ฟเวอร์ควบคุมของแฮกเกอร์
เทคนิคการซ่อนโค้ดในไฟล์ภาพ (Steganography)
ใช้ไฟล์ PNG ปลอมที่มีโค้ดเข้ารหัสแบบ base64
มีระบบ payload หลายชั้นเพื่อความต่อเนื่องในการโจมตี
การเชื่อมโยงกับกลุ่ม Magecart Group 12
พบโครงสร้างโค้ดและเซิร์ฟเวอร์ที่เชื่อมโยงกับกลุ่มนี้
เป็นกลุ่มที่มีประวัติการโจมตีเว็บไซต์อีคอมเมิร์ซอย่างต่อเนื่อง
https://securityonline.info/magecart-smilodon-skimmer-infiltrates-woocommerce-via-rogue-plugin-hiding-payload-in-fake-png-image/
🕵️♂️ “SMILODON” แฝงร้ายในรูปภาพ: มัลแวร์สุดแนบเนียนโจมตีร้านค้า WooCommerce
ลองนึกภาพว่าคุณกำลังดูแลร้านค้าออนไลน์บน WordPress ที่ใช้ WooCommerce อยู่ดีๆ แล้วมีปลั๊กอินใหม่ที่ดูเหมือนจะช่วยเรื่อง SEO หรือระบบล็อกอิน แต่จริงๆ แล้วมันคือมัลแวร์ที่ซ่อนตัวอยู่ในไฟล์ภาพ PNG ปลอม! เรื่องนี้ไม่ใช่แค่จินตนาการ เพราะทีม Wordfence ได้เปิดโปงแคมเปญมัลแวร์ขั้นสูงที่ใช้ชื่อว่า “SMILODON” ซึ่งเป็นผลงานของกลุ่ม Magecart Group 12 ที่ขึ้นชื่อเรื่องการขโมยข้อมูลบัตรเครดิตจากเว็บไซต์อีคอมเมิร์ซ
มัลแวร์นี้แฝงตัวมาในรูปแบบปลั๊กอินปลอมที่มีชื่อคล้ายของจริง เช่น “jwt-log-pro” หรือ “share-seo-assistant” โดยภายในประกอบด้วยไฟล์ PHP และ PNG ปลอมที่ถูกเข้ารหัสและอำพรางอย่างแนบเนียน มันสามารถหลบซ่อนจากรายการปลั๊กอินใน WordPress ได้อย่างเงียบเชียบ และยังสามารถติดตามผู้ใช้ระดับแอดมินผ่านคุกกี้พิเศษเพื่อหลบเลี่ยงการตรวจจับ
ที่น่ากลัวคือ มัลแวร์นี้สามารถดักจับข้อมูลล็อกอินและข้อมูลบัตรเครดิตของลูกค้าได้ โดยใช้ JavaScript ที่ถูกฝังไว้ในหน้าชำระเงินของ WooCommerce ซึ่งจะทำงานหลังจากโหลดหน้าไปแล้ว 3 วินาที เพื่อไม่ให้รบกวนระบบ AJAX ของเว็บไซต์ และยังมีระบบตรวจสอบปลอมเพื่อหลอกให้ผู้ใช้รู้สึกว่าการชำระเงินปลอดภัย
ข้อมูลที่ถูกขโมยจะถูกส่งไปยังเซิร์ฟเวอร์ควบคุมของแฮกเกอร์ และในบางกรณีจะถูกส่งผ่านอีเมลไปยังบัญชีที่เชื่อมโยงกับผู้ให้บริการอีเมลในรัสเซีย
นอกจากนั้น ยังมีการใช้เทคนิค steganography คือการซ่อนโค้ดไว้ในไฟล์ภาพ ซึ่งเป็นวิธีที่นิยมในหมู่แฮกเกอร์ยุคใหม่ เพราะสามารถหลบเลี่ยงระบบตรวจจับมัลแวร์ได้อย่างมีประสิทธิภาพ
✅ การโจมตีผ่านปลั๊กอินปลอมใน WordPress
➡️ ปลั๊กอินปลอมมีชื่อคล้ายของจริง เช่น “jwt-log-pro”
➡️ ประกอบด้วยไฟล์ PHP และ PNG ปลอมที่ถูกเข้ารหัส
➡️ ซ่อนตัวจากรายการปลั๊กอินใน WordPress ได้อย่างแนบเนียน
✅ การดักจับข้อมูลผู้ใช้และข้อมูลบัตรเครดิต
➡️ ใช้คุกกี้พิเศษติดตามผู้ใช้ระดับแอดมิน
➡️ ดักจับข้อมูลล็อกอินผ่านกระบวนการสองขั้น
➡️ ฝัง JavaScript ในหน้าชำระเงินของ WooCommerce
➡️ ส่งข้อมูลไปยังเซิร์ฟเวอร์ควบคุมของแฮกเกอร์
✅ เทคนิคการซ่อนโค้ดในไฟล์ภาพ (Steganography)
➡️ ใช้ไฟล์ PNG ปลอมที่มีโค้ดเข้ารหัสแบบ base64
➡️ มีระบบ payload หลายชั้นเพื่อความต่อเนื่องในการโจมตี
✅ การเชื่อมโยงกับกลุ่ม Magecart Group 12
➡️ พบโครงสร้างโค้ดและเซิร์ฟเวอร์ที่เชื่อมโยงกับกลุ่มนี้
➡️ เป็นกลุ่มที่มีประวัติการโจมตีเว็บไซต์อีคอมเมิร์ซอย่างต่อเนื่อง
https://securityonline.info/magecart-smilodon-skimmer-infiltrates-woocommerce-via-rogue-plugin-hiding-payload-in-fake-png-image/
0 ความคิดเห็น
0 การแบ่งปัน
54 มุมมอง
0 รีวิว
English