Malvertising คืออะไร ? เปลี่ยนโฆษณาเป็นช่องทางแพร่มัลแวร์

Malvertising คืออะไร ? เปลี่ยนโฆษณาเป็นช่องทางแพร่มัลแวร์

บนโลก อินเทอร์เน็ต (Internet) เปรียบได้ดั่งพื้นที่เสรีที่ทุกคนเชื่อมต่อกัน แลกเปลี่ยนความรู้ และข้อมูลได้อย่างอิสระ แม้ส่วนใหญ่จะเข้าถึงได้ฟรี แต่โลกของธุรกิจมันต้องมีค่าดำเนินการ ไม่ว่าจะเป็นเงินเดือนพนักงาน, ค่าเช่าโฮสติ้ง (Hosting) ฯลฯ สำหรับ แบนเนอร์โฆษณาก็เป็นอีกช่องทางหนึ่งที่สามารถสร้างรายได้ให้กับธุรกิจ มีหลายเว็บไซต์ที่ให้บริการฟรีอยู่ได้โดยอาศัยแค่เพียงรายได้จากค่าโฆษณาเพียงอย่างเดียว

ดังนั้น การมีอยู่ของโฆษณาบนอินเทอร์เน็ตจึงเป็นเรื่องธรรมดาที่เราสามารถพบเห็นได้แทบทุกที่ และในเมื่อมันเป็นช่องทางที่มีคนเห็นเยอะ จึงไม่ใช่เรื่องน่าแปลกใจที่ แฮกเกอร์จะมองเห็นโอกาสที่จะใช้ช่องทางนี้ในการแพร่กระจาย มัลแวร์ (Malware) ซึ่งเราเรียกมันว่า Malvertising

Malvertising คืออะไร ? (What is Malvertising ?)

สำหรับคำว่า "มัลเวอร์ไทซิ่ง (Malvertising)" นั้นย่อมาจากคำว่า "Malicious Advertising" หรือหากแปลเป็นไทยคือ "โฆษณาอันตราย" นั่นเอง

Malvertising เป็นเทคนิคที่ แฮกเกอร์ (Hacker) เอาไว้ใช้โจมตี หรือเจาะระบบอุปกรณ์ของเหยื่อ ไม่ว่าจะเป็น คอมพิวเตอร์ PC หรือสมาร์ทโฟนก็ตามผ่านระบบโฆษณาที่มีการสอดไส้ใส่สคริปต์อันตรายซ่อนเอาไว้ ซึ่งแพลตฟอร์มโฆษณาที่ดำเนินงานแบบถูกกฏหมายอาจไม่รู้ด้วยซ้ำว่ามีโฆษณาอันตรายแทรกซึมเข้าในระบบ

นั่นทำให้ Malvertising สามารถปรากฏเป็นโฆษณาได้ในทุกเว็บไซต์ แม้แต่หน้าเว็บไซต์ที่คุณเข้าใช้บริการเป็นประจำทุกวันก็ตาม อันที่จริงแล้ว Malvertising มันเป็นโค้ดสั้น ๆ ที่จะส่งสัญญาณกลับไปยังเซิร์ฟเวอร์ของแฮกเกอร์ ตัวเซิร์ฟเวอร์จะทำการสแกนคอมพิวเตอร์ของเหยื่อว่าอยู่ที่ไหน และมีซอฟต์แวร์อะไรในระบบบ้าง เพื่อนำข้อมูลที่ได้ไปวิเคราะห์ว่ามัลแวร์ชนิดไหน ? ที่เหมาะกับการโจมตีคอมพิวเตอร์ของเหยื่อมากที่สุด

วิธีการโจมตีของ Malvertising นั้นเริ่มจากการปลอมแปลงตัวเองเป็นโฆษณาที่ดูไร้พิษภัย และเผยแพร่ไปยังแพลตฟอร์มโฆษณาที่ดำเนินการอย่างถูกกฏหมาย (หรือไม่ถูกกฏหมายก็ได้) ตัวโฆษณาอาจจะเป็นรูปภาพ หรือข้อความก็ได้ ตราบใดที่มันรองรับจาวาสคริปต์ (JavaScript) เทคนิคยอดนิยมคือการแสดงหน้าต่างแบบป๊อปอัป (Pop-Up Windows) ปลอมเป็นหน้าต่างแจ้งเตือนอัปเดต, ข้อความแจ้งเตือนปลอม ๆ ว่าระบบของคุณตกอยู่ในอันตราย หรือแม้แต่บอกว่าคุณโชคดีถูกรางวัลได้เงิน ฯลฯ ขั้นตอนนี้สรุปง่าย ๆ ว่าเป็นการยั่วยุให้เหยื่อทำการคลิกลิงก์ เพื่อดาวน์โหลดไฟล์อันตรายจากแฮกเกอร์ หรือนำไปสู่หน้าเว็บไซต์ปลอมที่แฮกเกอร์เตรียมเอาไว้

จุดเริ่มต้นของ Malvertising (The History of Malvertising)

Malvertising ปรากฏตัวเป็นครั้งแรกในช่วงระหว่างปลายปี ค.ศ. 2007 (พ.ศ. 2550) ถึงต้นปี ค.ศ. 2008 (พ.ศ. 2551) โดยมันอาศัยช่องโหว่ที่มีอยู่ในตัว Adobe Flash ส่งผลกระทบต่อแพลตฟอร์มใหญ่หลายแห่ง ไม่ว่าจะเป็น MySpace, Excite และ Rhapsody

ในปี ค.ศ. 2009 (พ.ศ. 2552) นิตยสาร New York Times เวอร์ชันออนไลน์ถูกตรวจพบว่ามีการแสดงผลโฆษณาที่มีมัลแวร์ Bahama Botnet ที่เป็นมัลแวร์ประเภท บอทเน็ต (Botnet) แฝงตัวอยู่ เครื่องที่ถูกโจมตีจะทำการคลิกโฆษณาทุกตัวที่สร้างรายได้เมื่อถูกคลิก นอกจากนี้ ผู้เข้าชมเว็บไซต์จะถูกพยายามหลอกล่อให้ติดตั้ง โปรแกรมแอนตี้ไวรัส (Antivirus Software) ปลอมลงในเครื่องอีกด้วย อย่างไรก็ตาม เหตุการณ์นี้เกิดจากแพลตฟอร์มโฆษณา บุคคลที่สาม (3rd-Party) ที่ทาง New York Times ใช้ ซึ่งก็ได้เปลี่ยนผู้ให้บริการหลังจากได้รับการตรวจสอบ

ในปี ค.ศ. 2010 (พ.ศ. 2553) ทาง Online Trust Alliance (OTA) ได้รายงานผลการตรวจสอบ Malvertising พบว่ามีโฆษณาอันตรายมากถึงหลักพันล้านตัว ที่ถูกแสดงบนเว็บไซต์กว่า 3,500 แห่ง ซึ่งภายในปีเดียวกันนี้ ทาง OTA ก็เลยจัดตั้งหน่วยงานต่อต้าน Malvertising ขึ้นมาเพื่อต่อสู้กับมัน

บริการเพลงออนไลน์รายใหญ่อย่าง Spotify เองก็เคยตกเป็นเหยื่อของ Malvertising ด้วยเช่นกัน โดยแฮกเกอร์ได้ใช้ช่องโหว่ Blackhole Exploit Kit ซึ่งนี่เป็นหนึ่งใน Malvertising ตัวแรก ๆ ที่สามารถโจมตีเหยื่อได้ทันที โดยที่เหยื่อไม่จำเป็นต้องคลิกโฆษณาก่อน

ปัญหาของ Malvertising เริ่มบานปลายจนในปี ค.ศ. 2012 (พ.ศ. 2555) ทางบริษัท Symantec ที่ให้บริการด้านระบบรักษาความปลอดภัย ได้เพิ่ม Malvertising เข้าไปในรายงานด้านความปลอดภัยเข้ามา

ในปี ค.ศ. 2013 (พ.ศ. 2556) ได้มีเหตุการณ์ Malvertising ครั้งใหญ่ โดยเว็บไซต์ Yahoo.com ที่ในเวลานั้น แต่ละเดือนมีผู้เข้าชมมากถึง 6,900,000,000 ครั้ง (หกพันเก้าร้อยล้านครั้ง) ต่อเดือน แฮกเกอร์ได้ใช้มัลแวร์ Cryptowall โจมตีผ่านช่องโหว่ Cross-Site Scripting (XSS) เหยื่อที่ถูกโจมตี ไฟล์จะถูกเข้ารหัส และเรียกค่าไถ่เป็น Bitcoin ในมูลค่า $1,000 

ตัดภาพข้ามเวลามาในปี ค.ศ. 2022 (พ.ศ. 2565) ได้มีการสำรวจระบบโฆษณาบนแพลตฟอร์มการค้นหาของกูเกิล (Google Search) ก็ยังค้นพบว่า ยังมีลิงก์ที่พาไปผู้ใช้ไปยังหน้าเว็บไซต์ที่ดาวน์โหลด มัลแวร์เรียกค่าไถ่ (Ransomware) หรือหน้าเว็บไซต์ปลอมอยู่เป็นจำนวนมาก

ประเภทของ Malvertising (Types of Malvertising)

Malvertising สามารถสร้างขึ้นจากมัลแวร์ได้หลายชนิด แต่ถ้าแบ่งตามรูปแบบการทำงานของมัน ที่สามารถพบเห็นได้ประจำ ก็จะประกอบไปด้วย

Ad Creative Containing Malware

เป็นโฆษณาในรูปแบบข้อความ หรือภาพ ที่มีการฝังมัลแวร์เอาไว้ในตัวแบนเนอร์โฆษณาเลย อันตรายของมันคือขอแค่มันแสดงผลได้สำเร็จ ต่อให้ผู้ใช้ไม่ได้คลิกทมัลแวร์ก็สามารถเริ่มโจมตีอุปกรณ์ของเหยื่อได้ทันที

Ad Calls Containing Malicious Code

เป็น Malvertising ที่แฮกเกอร์ใส่โค้ดอันตรายเอาไว้ในตัว Payload ของโฆษณา เพื่อโจมตีอุปกรณ์ของเหยื่อในทันทีที่โฆษณาถูกแสดงผล

Video Containing Malware

การแสดงผลวิดีโอบนหน้าเว็บไซต์จะใช้ตัวเล่นวิดีโอ (Video Player) ซึ่งมันมีช่องโหว่ที่มันไม่ได้ตรวจสอบเนื้อหาภายในวิดีโอ ซึ่งแฮกเกอร์สามารถแสดงลิงก์อันตราย เพื่อหลอกล่อให้เหยื่อคลิกลิงก์ดังกล่าว

Compromised URLs

ทันทีที่ผู้ใช้คลิกแบนเนอร์โฆษณา มันจะทำการรีไดเรคลิงก์ไปหลาย URL แต่ท้ายที่สุดแล้วมันก็จะไปจบที่หน้าเว็บไซต์ปลอมที่เตรียมไว้ ซึ่ง URL ทั้งหมดที่ถูกนำมาใช้ แฮกเกอร์ก็มักจะใส่โค้ดอันตรายเอาไว้ เพื่อใช้ในการส่งมัลแวร์ไปโจมตีอุปกรณ์ของเหยื่อ

Landing Page ที่มี Malware-Infected Element

อย่างที่เราได้อธิบายไปแล้วว่า หน้าเว็บไซต์ที่ถูกต้องตามกฏหมายที่มีโฆษณาอยู่ ก็สามารถมีหน้าแบนเนอร์โฆษณาอันตรายปรากฏได้เช่นกัน หากเหยื่อพลาดคลิกไป ก็จะถูกพาไปยังเว็บไซต์ที่ฝังโค้ดอันตรายเอาไว้

Pixel Containing Malware

หน้าจอของเราประกอบด้วยพิกเซลจำนวนมากรวมกันขึ้นมาสร้างเป็นภาพ แฮกเกอร์สามารถที่จะแทรกแซงพิกเซล เพื่อหลอกให้คลิกในบริเวณที่ต้องการได้ เพื่อส่งโค้ดอันตรายเข้ามาจู่โจมอุปกรณ์ของเหยื่อ

Flash Video Containing Malware

อันที่จริง Malvertising แทบไม่เหลือแล้ว หลังจากที่สตีฟ จอบส์ ยืนยันที่จะไม่ใส่ Flash เข้ามาใน iPhone ด้วยเหตุผลว่า Flash มันเต็มไปด้วยช่องโหว่  และใช้ทรัพยากรเยอะเกินไป ซึ่งก็เป็นเรื่องจริง จนในที่สุด Flash ก็ปิดตัวลงไปเป็นที่เรียบร้อยแล้ว แต่ในช่วงที่ Flash ยังได้รับความนิยมอยู่นั้น ช่องโหว่ที่มีอยู่เพียบ ทำให้แฮกเกอร์นิยมใช้เป็นช่องทางหลักในการทำ Malvertising   

ตัวอย่างของ Malvertising ที่น่าจดจำในประวัติศาสตร์ (Examples of Memorable Malvertising)

Angler Exploit Kit

Malvertising ตัวนี้ เป็นหนึ่งในมัลแวร์ที่สามารถโจมตีได้ในทันทีที่แบนเนอร์โฆษณาแสดงผล โดยที่เหยื่อไม่ต้องคลิกเลย มันจะทำการเปลี่ยนหน้าเว็บไซต์ไปยังหน้าเว็บไซต์ปลอมที่เตรียมไว้แบบอัตโนมัติ Angler Exploit Kit นั้นใช้ช่องโหว่ที่มีอยู่ในส่วนขยายของ เว็บเบราว์เซอร์ (Web Browser) เช่น Adobe Flash, Microsoft Silverlight และ Oracle Java

RoughTed

RoughTed เป็นมัลแวร์ที่มีรูปแบบการทำงานที่ซับซ้อน มันสามารถหลบหลีกโปรแกรม Ad-blocker และซอฟต์แวร์จำพวกแอนตี้ไวรัสได้อย่างชาญฉลาด ผ่านการใช้ Dynamic URLs โดยแฮกเกอร์ที่อยู่เบื้องหลัง RoughTed ได้ใช้ทั้ง Amazon cloud และ Content Delivery Network (CDN) ในการโจมตี

KS Clean

แทรฟฟิคของเว็บไซต์ที่มาจากสมาร์ทโฟนนั้นมีจำนวนเพิ่มมากขึ้นจนแซงการเข้าชมจากคอมพิวเตอร์ไปแล้ว KS Clean เป็น Malvertising ที่พัฒนามาเพื่อโจมตีระบบโฆษณาบนสมาร์ทโฟนโดยเฉพาะ มันอาศัยช่องโหว่ในหน้าต่างแจ้งเตือนของสมาร์ทโฟน หลอกล่อให้เหยื่อคลิกลิงก์เพื่ออัปเดตแอปพลิเคชัน หากเหยื่อหลงเชื่อมันจะทำการดาวน์โหลดมัลแวร์เข้ามาติดตั้งทันที