นักวิจัยจาก Sucuri ได้พบมัลแวร์ SEO Injection บนเว็บไซต์ 2 เว็บไซต์ เป้าหมายอยู่ที่ข้อความค้นหาดาวน์โหลดฟรีต่างๆ ทั้งที่เป็นภาษาอังกฤษ และภาษาเกาหลี ซึ่งได้โพสต์เกี่ยวกับการค้นพบนี้บนบล็อกเมื่อวันจันทร์ที่ผ่านมา สามารถดูได้ที่ https://blog.sucuri.net/2018/12/clever-seo-spam-injection.html
มัลแวร์นี้สร้างขึ้นเพื่อทำการ SEO Injection เป็นวิธีการที่แฮกเกอร์ทำการโหลดหน้าเว็บเพจที่ประกอบด้วย ลิงค์เพื่อใช้ในการสแปม หรือเปลี่ยนเส้นทาง และเปลี่ยนคำหลักของคีย์เวิร์ดโดยที่เจ้าของเว็บไม่ทราบทำให้สามารถหลบหลีกการตรวจจับได้ โดยจะทำการผนวกตัวเองเข้าไปในส่วนหลังบ้านของเว็บไซต์ WordPress
-
นักวิจัยได้ทำการวิเคราะห์มัลแวร์ตัวนี้พบว่า มัลแวร์นี้มีการทำงาน 2 แบบ คือ
- แบบที่ 1 มันจะทำการเพิ่มลิงค์ซ่อนเอาไว้สำหรับการจัดทำดัชนีโดย search engine กระบวนการนี้มักจะละเมิดหรือฝ่าฝืนข้อกำหนดในการให้บริการของ search engine ทำให้ส่งผลให้เว็บไซต์ถูกขึ้นบัญชีดำ
- แบบที่ 2 มันจะเปลี่ยนเส้นทางผู้เข้าชมไปยังเนื้อหาที่เป็นสแปม ในส่วนนี้เป็นฟังก์ชั่นขั้นสูง เพราะมีการเปลี่ยนเส้นทางจะเกิดกับผู้ที่ไม่ได้ลงทะเบียนใช้งานเว็บไซต์เท่านั้น หรือเป็นผู้เข้าเว็บเพียงครั้งเดียว ซึ่งไม่ได้เป็นเว็บมาสเตอร์ เส้นทางที่ถูกเปลี่ยนก็จะเปลี่ยนไปตามโปรไฟล์ของผู้ที่เข้าชมเว็บ ทำให้แฮกเกอร์สามารถใช้ประโยชน์จากวิธีการนี้ทำการโฆษณาหลอกลวง หรือเผยแพร่มัลแวร์ หรือกระทำการอันตรายอื่นๆ ได้
จากการตรวจสอบ นักวิจัยได้พบบล็อคโค้ดที่น่าสงสัยในไฟล์ functions.php บนธีมที่โหลดเนื้อหาจากตาราง wp_options ของ WordPress โค้ดจะดึงเนื้อหาบางส่วนออกจากฐานข้อมูลอย่างเงียบๆ ยิ่งไปกว่านั้น มันจะโหลด Option ของ theme_css ซึ่งตามปกติแล้ว CSS จะไม่ใช้วิธีนี้ในการโหลดธีมของ WordPress ด้วยวิธีการค้นหาฐานข้อมูลสำหรับตัวเลือกนี้ จึงทำให้นักวิจัยพบมัลแวร์
การทำ SEO Injection นั้นเป็นการแทรกโค้ด HTML ที่เป็นอันตรายลงโดยซ่อน elements ไว้ในไฟล์ธีม หรือโพสต์ข้อความหลอกลวงที่เป็นสแปมลงในฐานข้อมูลของ WordPress ซึ่งนักวิจัยจาก Sucuri บอกว่ามัลแวร์ SEO Injection นี้สามารถหาได้ง่ายมาก โดยทำการค้นหาไฟล์ หรือค้นหาจากคำหลักใน WordPress เพียงแค่ใช้ข้อความที่มีคำว่า SEO รวมอยู่ด้วย ก็จะสามารถหาไฟล์มัลแวร์พบ และลบข้อความที่เป็นสแปมออกไปได้ จากนั้นเจ้าของเว็บไซต์สามารถส่งชื่อเว็บไซต์ที่มากับข้อความเพื่อทำการตรวจสอบขึ้นบัญชีดำเว็บนั้น หรือทำการ Reindex SEO ก็ได้
ในขณะที่ทีมนักวิจัยจาก Sucuri พบวิธีการแพร่กระจายมัลแวร์ทั้ง 2 แบบ ที่เกี่ยวกับการค้นหาในส่วนของ PublicWWW ก็พบว่ามีเว็บไซต์ที่ถูกติดตั้งมัลแวร์นี้ไปแล้ว 173 เว็บไซต์ ทั้งนี้ทั้งนั้นก็เพราะว่าเว็บไซต์ที่ถูกแฮกนั้นได้รับผลกระทบจากการถูกขึ้นบัญชีดำจากแคมเปญ SEO ทำให้สามารถรับลิงค์จากหลายๆ เว็บไซต์ในชั่วข้ามคืน
สำหรับเจ้าของเว็บ หากต้องการล้างมัลแวร์ควรทำการค้นหาและลบโค้ดที่เป็นอันตรายจากไฟล์ functions.php ของธีมและตามที่ Sucuri ได้แจ้งไว้ ก็ควรทำการค้นหา และลบ Option ของ themes_css ซึ่งอาจจะได้รับชื่อแบบสุ่มมา และสุดท้ายผู้ดูแลระบบควรตรวจสอบตารางที่มีคำนำหน้าที่ไม่รู้จักในฐานข้อมูลบน WordPress
ที่มา: Threat Post
