ข่าวน่ากลัวสำหรับผู้ใช้ Google เพราะล่าสุด Search engine หลักของเราโดนใช้เป็นช่องทางส่งมัลแวร์ ซึ่งตัวมัลแวร์ตัวใหม่ก็ซับซ้อนสุด ๆ เริ่มต้นมาจากสคริปต์ที่แอบอยู่ในเว็บ E-commerce (ที่ใช้ Magento) โดยสคริปต์นี้จะอ้างอิง URL การ Log out ของ Google OAuth (https://accounts.google.com/o/oauth2/revoke) ซึ่งดูเผิน ๆ ก็ไม่น่ามีพิษมีภัยอะไรเลย แต่ปัญหามันอยู่ตรงที่ URL ตัวนี้ถูกแฮกเกอร์ปรับแต่งพารามิเตอร์ให้สามารถถอดรหัสแล้วรันโคด JavaScript ความเนียนคือการใช้โดเมนของ Google นี่แหละ เพราะมันทำให้สคริปต์ถูกมองว่าเป็นแหล่งที่น่าเชื่อถือ ระบบป้องกันอย่าง Content Security Policies (CSP) หรือ DNS Filter ส่วนใหญ่เลยยอมให้ผ่านไปได้ง่าย ๆ โดยไม่เอะใจอะไร

ซึ่งตัวสคริปต์นี้ไม่ได้ทำงานมั่วซั่ว แต่มันจะทำงานภายใต้เงื่อนไขบางอย่าง เช่น ถ้าตรวจเจอว่าเบราว์เซอร์ดูเหมือนเป็นระบบอัตโนมัติ (ไม่ใช่คนใช้จริง ๆ) หรือ URL ที่เข้ามีคำว่า “Checkout” หรือที่จะนำไปสู่หน้าจ่ายเงิน มัลแวร์ก็จะแอบเปิดการเชื่อมต่อ WebSocket ไปยังเซิร์ฟเวอร์ของแฮกเกอร์ทันที ทำให้มันสามารถปรับเปลี่ยนพฤติกรรมให้เข้ากับการใช้งานของผู้ใช้ได้เลย

มัลแวร์ที่ถูกส่งผ่านช่องทางนี้จะถูกเข้ารหัสแบบ Base64, ถอดรหัส และรันแบบไดนามิกโดยใช้ JavaScript’s Function constructor ทำให้แฮกเกอร์สามารถรันโคดในเบราว์เซอร์ได้แบบเรียลไทม์ หนึ่งในปัจจัยหลักที่ทำให้การส่งมัลแวร์นี้มีประสิทธิภาพคือ ความสามารถในการหลบเลี่ยงโปรแกรมแอนตี้ไวรัสชั้นนำส่วนใหญ่ได้ ! รวมถึงแอปฯ แอนตี้ไวรัสบน Android และเครื่องสแกนมัลแวร์แบบ Static เนื่องจากตรรกะของสคริปต์ถูกเข้ารหัสอย่างซับซ้อน และจะทำงานภายใต้เงื่อนไขบางอย่างเท่านั้น

ป้องกันอย่างไร ?

ในตอนนี้ระบบป้องกันอย่าง DNS-based filters หรือ firewall rules ได้ให้การป้องกันที่จำกัด เพราะคำขอเริ่มต้นเป็นการเชื่อมต่อไปยังโดเมนที่ถูกต้องของ Google ส่วนในองค์กร ระบบ Endpoint Protection อาจตรวจจับได้ยากหากพึ่งพาชื่อเสียงโดเมนมากไป หรือไม่ตรวจสอบการรันสคริปต์แบบไดนามิกในเบราว์เซอร์

แม้ผู้ใช้ที่มีทีมความปลอดภัยทางไซเบอร์อาจใช้เครื่องมือวิเคราะห์ขั้นสูงเพื่อระบุความผิดปกติ แต่ผู้ใช้ทั่วไปยังคงมีความเสี่ยงสูง จึงแนะนำว่าการจำกัดสคริปต์ Third-party, การแยกเซสชันเบราว์เซอร์สำหรับธุรกรรมทางการเงิน และการระมัดระวังพฤติกรรมเว็บไซต์ที่ไม่คาดคิด ทั้งหมดเหล่านี้ล้วนช่วยลดความเสี่ยงในระยะสั้นได้