สำหรับใครที่ดูแลเว็บไซต์ WordPress อาจต้องจับตาเรื่องความปลอดภัยกันมากขึ้น หลังผู้เชี่ยวชาญพบมัลแวร์ตัวใหม่ที่ใช้ Steam Community เป็นที่ซ่อนข้อมูลสำหรับสั่งงานมัลแวร์
ความน่ากังวลคือ Steam เป็นบริการที่คนทั่วโลกใช้งานอยู่แล้ว ทำให้การเชื่อมต่อดูปกติจนหลายระบบอาจไม่ทันสังเกตว่าเบื้องหลังมีการโหลดโค้ดอันตรายเข้ามาทำงานบนเว็บไซต์
แคมเปญโจมตีนี้ถูกค้นพบโดย ทีมวิจัยด้านความปลอดภัยของ GoDaddy ซึ่งพบเว็บไซต์ WordPress ที่ได้รับผลกระทบแล้วเกือบ 2,000 แห่ง
โดยการใช้ Steam ทำให้ผู้โจมตีไม่จำเป็นต้องสร้างเซิร์ฟเวอร์ควบคุมมัลแวร์ (C2) ของตัวเอง ช่วยให้การติดตามและบล็อกการโจมตีทำได้ยากขึ้น
แม้ตอนนี้จะยังไม่ทราบแน่ชัดว่าเว็บไซต์เหล่านี้ถูกเจาะเข้ามาได้อย่างไร แต่สาเหตุที่เป็นไปได้มีหลายทาง ตั้งแต่บัญชีผู้ดูแลระบบ WordPress ถูกขโมย รหัส FTP หรือ SFTP รั่วไหล ไปจนถึงการใช้งานปลั๊กอินหรือธีมที่มีช่องโหว่โดยไม่รู้ตัว
นอกจากนี้ยังมีความเป็นไปได้ว่า ผู้โจมตีอาจอาศัยช่องทางจากซอฟต์แวร์หรือบริการของผู้ให้บริการภายนอก (Supply Chain Attack) ซึ่งเป็น
รูปแบบการโจมตีที่กำลังถูกใช้บ่อยขึ้น เพราะสามารถสร้างผลกระทบเป็นวงกว้างได้ในครั้งเดียว
สิ่งที่ทำให้มัลแวร์ตัวนี้แตกต่างจากทั่วไป คือการซ่อนข้อมูลอันตรายไว้ในคอมเมนต์บน Steam โดยใช้ตัวอักษรพิเศษที่มองไม่เห็น ทำให้ข้อความดูเหมือนคอมเมนต์ธรรมดา แต่เบื้องหลังกลับมีข้อมูลที่ใช้สำหรับสั่งงานมัลแวร์ซ่อนอยู่
เมื่อถอดรหัสสำเร็จ มัลแวร์จะโหลดโค้ดอันตรายจากภายนอกเข้ามาทำงานบนเว็บไซต์ WordPress และพยายามปลอมตัวให้ดูเหมือนไฟล์ JavaScript ปกติ เพื่อหลบเลี่ยงการตรวจจับ อีกทั้งยังติดตั้ง Backdoor เพื่อเปิดทางให้แฮกเกอร์กลับเข้ามาควบคุมระบบได้ในภายหลัง ส่งผลให้เว็บไซต์เสี่ยงถูกยึด เปลี่ยนหน้าเว็บ ขโมยข้อมูลผู้ใช้งาน หรือถูกใช้เป็นฐานสำหรับโจมตีเป้าหมายอื่นต่อได้
เจ้าของเว็บไซต์ WordPress ควรทำอะไรตอนนี้?
- ตรวจสอบการเชื่อมต่อจากเว็บไซต์ไปยัง Steam Community ที่เกิดขึ้นโดยไม่ทราบสาเหตุ
- เฝ้าระวังการโหลด JavaScript หรือสคริปต์จากโดเมนภายนอกที่ไม่คุ้นเคย
- ตรวจสอบไฟล์และฐานข้อมูลว่ามีข้อมูลหรือโค้ดแปลกปลอมซ่อนอยู่หรือไม่
- อัปเดต WordPress ปลั๊กอิน และธีมให้เป็นเวอร์ชันล่าสุดอยู่เสมอ
- ตรวจสอบและป้องกันการรั่วไหลของบัญชีผู้ดูแลระบบ รวมถึงข้อมูล FTP/SFTP
- สำรองข้อมูลเว็บไซต์อย่างสม่ำเสมอ เพื่อให้สามารถกู้คืนระบบได้หากเกิดเหตุไม่คาดคิด
หากพบการติดมัลแวร์ วิธีที่ปลอดภัยที่สุดคือการกู้คืนเว็บไซต์จาก Backup ที่สร้างไว้ก่อนเกิดเหตุ เนื่องจากหากยังมี Backdoor หลงเหลืออยู่
แม้เพียงบางส่วน ผู้โจมตีก็อาจกลับมาติดตั้งมัลแวร์ซ้ำได้อีกครั้ง
ถึงแม้ว่าเทคนิคการโจมตีจะซับซ้อนขึ้นเรื่อย ๆ แต่การดูแลเว็บไซต์อย่างสม่ำเสมอ ทั้งการอัปเดตระบบ การตรวจสอบความปลอดภัย และการสำรองข้อมูล ก็ยังช่วยลดความเสี่ยงจากภัยคุกคามลักษณะนี้ได้อย่างมาก
สนใจบริการ WordPress Hosting จาก hostatom ดูรายละเอียดเพิ่มเติมได้ที่ https://www.hostatom.com/wordpress-hosting/
ที่มา: Bleepingcomputer
