299/69 (IT) ประจำวันพฤหัสบดีที่ 4 มิถุนายน 2569
นักวิจัยด้านความปลอดภัยของ GoDaddy รายงานการตรวจพบมัลแวร์บนเว็บไซต์ WordPress ประมาณ 1,980 แห่ง ที่ใช้วิธีควบคุมและสั่งการ หรือ Command-and-Control (C2) ผ่านแพลตฟอร์ม Steam Community ของบริษัท Valve โดยมัลแวร์จะดึงคำสั่งจากคอมเมนต์ในโปรไฟล์ Steam ซึ่งภายนอกดูเหมือนข้อความหรือ ASCII Art ปกติ แต่ภายในซ่อน Payload และคำสั่งอันตรายด้วยอักขระ Unicode แบบมองไม่เห็น เพื่อบอกให้เว็บไซต์ที่ติดมัลแวร์โหลด JavaScript จากแหล่งที่ผู้โจมตีควบคุม
จากการวิเคราะห์พบว่า มัลแวร์ใช้เทคนิคเข้ารหัสข้อมูลด้วยอักขระ Unicode ที่ไม่มีการแสดงผล เช่น Zero-width character และ Invisible operator ต่าง ๆ โดยจะตัดตัวอักษรที่มองเห็นออกจากคอมเมนต์ แล้วแปลงอักขระที่มองไม่เห็นกลับเป็นข้อมูลไบนารี ก่อนนำไปถอดรหัสเป็นคำสั่งใช้งานจริง ในบางรูปแบบยังมีการป้องกันเพิ่มเติมด้วย AES-256-CTR, PBKDF2 และ HMAC-SHA256 เพื่อทำให้การวิเคราะห์ทำได้ยากขึ้น โดย Payload ที่ถอดรหัสแล้วจะสร้าง URL ไปยังโดเมน hello-mywordl[.]info เพื่อโหลดไฟล์ JavaScript ชื่อ lodash.core.min.js ซึ่งตั้งชื่อให้คล้ายกับไลบรารี JavaScript ที่ถูกใช้งานทั่วไป และถูกฝังให้โหลดบนหน้า Frontend ของ WordPress ผ่าน Hook wp_enqueue_scripts
GoDaddy ระบุว่า องค์ประกอบฝั่งเซิร์ฟเวอร์ของมัลแวร์มีความเสี่ยงสูง เนื่องจากมี Backdoor ที่ทำงานทุกครั้งเมื่อมีการโหลดหน้า WordPress และตรวจสอบ Cookie เฉพาะในคำขอแบบ POST หากพบ Cookie ที่กำหนดไว้ ผู้โจมตีสามารถส่งโค้ด PHP ที่เข้ารหัสแบบ Base64 เพื่อแก้ไขไฟล์ใน Plugin และ Theme ได้ ทำให้การลบเฉพาะ JavaScript อันตรายอาจไม่เพียงพอ เพราะ Backdoor สามารถเขียนโค้ดกลับเข้ามาใหม่ได้อีก สำหรับแนวทางตรวจจับ ผู้ดูแลระบบควรตรวจสอบการเชื่อมต่อจาก WordPress Server ไปยัง Steam Community URL, การอ้างอิงโดเมน hello-mywordl[.]info, อักขระ Unicode ที่มองไม่เห็นในไฟล์ PHP, การใช้งานฟังก์ชันเข้ารหัสผิดปกติ รวมถึง Cookie หรือ POST Parameter ที่เกี่ยวข้องกับ Backdoor หากพบควรกู้คืนจาก Backup ที่ปลอดภัยก่อนวันที่ติดมัลแวร์ หรือดำเนินการลบโค้ดอันตรายออกจากไฟล์ Plugin และ Theme ทั้งหมด พร้อมอัปเดต WordPress Core, Plugin และ Theme ให้เป็นเวอร์ชันล่าสุด