จากรายงานการวิจัยของเทรนด์ ไมโครพบว่า แม้ว่านายหน้าค้าทราฟฟิกในตลาดทุกรายจะไม่ได้ดำเนินธุรกิจหลอกลวงเหมือนกับบริษัท ออนวา จำกัด แต่บรรดานายหน้าค้าทราฟฟิกที่ถูกต้องก็อาจถูกลวงให้เชื่อว่าพวกเขากำลังติดต่ออยู่กับบริษัทที่ถูกต้องตามกฎหมายอยู่ ซึ่งในการดำเนินการดังกล่าวนายหน้าค้าทราฟฟิกจอมปลอมอย่างบริษัท ออนวา จำกัด มักจะสร้างเว็บไซต์ที่จะนำเสนอว่านายหน้าค้าทราฟิกรายนั้นได้ดำเนินธุรกิจอย่างถูกต้องมาเป็นเวลานานแล้ว จากนั้นก็จะสร้างเว็บไซต์ค้นหาลวงขึ้นมาเพื่อกระตุ้นให้เกิดทราฟฟิกของผู้ใช้จริง ขณะที่ในความเป็นจริงแล้วเว็บไซต์ค้นหาลวงเหล่านี้จะดำเนินการขโมยคลิกโดยใช้บ็อตเน็ตเป็นสื่อกลาง
เนื่องจากเครื่องมือค้นหาลวงดังกล่าวไม่ได้มีผู้เยี่ยมชมปกติทั่วไป และผู้โฆษณาก็อาจสามารถสังเกตเห็นสิ่งนี้ได้ ดังนั้นจึงต้องอาศัยการจัดอันดับลวงของ Alexa ด้วยในบางครั้ง สิ่งนี้สามารถทำได้โดยให้บ็อตเข้าถึง URL ของ Alexa โดยอัตโนมัติ จากนั้นก็จะกำหนดจำนวนการเยี่ยมชมไซต์ได้ตามต้องการ นอกจากนี้ นายหน้าค้าทราฟฟิกจอมปลอมมักจะแบ่งย่อยทราฟฟิกที่ลวงมาได้ออกเป็นส่วนเล็กๆ เพื่อให้ดูเหมือนว่าเป็นทราฟฟิกที่มาจากหลายๆ แหล่ง ทั้งที่ในความเป็นจริงแล้ว คลิกส่วนใหญ่มาจากบ็อตเน็ตเพียงหยิบมือเดียวเท่านั้น หากผู้ซื้อทราฟฟิกตรวจพบการหลอกลวง นายหน้าค้าทราฟฟิกจอมปลอมก็จะโยนความผิดไปให้กับธุรกิจในเครือที่จัดตั้งขึ้นมาเพื่อหลอกลวงแห่งใดแห่งหนึ่ง และก็จะกรองข้อมูลส่วนที่ต้องสงสัยออกไป ดังนั้นแก๊งค์อาชญากรก็จะเสียรายได้เพียงส่วนน้อยแทนที่จะต้องเสียไปทั้งหมด
ตัวปล้นบราวเซอร์เป็นมัลแวร์ชนิดที่รู้จักกันดี โดยเหยื่อจะสังเกตพบสิ่งผิดปกติได้เมื่อพวกเขาถูกเปลี่ยนทิศทางลิงก์อย่างไม่คาดคิด ดังนั้นช่วงอายุโดยเฉลี่ยของบ็อตประเภทนี้จึงน้อยมาก จากรูปที่ 1 จะพบว่าช่วงอายุของบ็อตตัวหนึ่งจากประวัติที่รวบรวมได้นั้นจะมีลักษณะที่ผันผวนอยู่ระหว่าง 6 ถึง 12 วัน
ในการรักษาขนาดของบ็อตให้คงที่ ผู้ดูแลบ็อตจึงต้องสร้างระบบใหม่ในเครือข่ายอย่างสม่ำเสมอ โดยรูปที่ 2 แสดงให้เห็นถึงจำนวนระบบใหม่ที่ถูกเพิ่มลงในบ็อตเน็ตทุกวัน ซึ่งในแต่ละวันจะมีระบบใหม่นับหมื่นจุดเกิดขึ้นในเครือข่าย โดยขณะนี้มีคอมพิวเตอร์กว่า 2 ล้านเครื่องแล้วที่ติดเชื้อจากมัลแวร์ประเภทตัวปล้นบราวเซอร์ และเราคาดว่าจำนวนนี้จะเพิ่มขึ้นเป็น 4 ล้านเครื่องภายในปลายปีนี้
ตัวปล้นบราวเซอร์ที่เราตรวจพบมาพร้อมกับส่วนประกอบ DNS Changer ที่จะเปลี่ยนการตั้งค่า DNS ของระบบเพื่อชี้ไปยังเซิร์ฟเวอร์ลวง โดยเซิร์ฟเวอร์ DNS ที่ถูกใช้เป็นเครื่องมือจะมีการฝังข้อมูลลงในโค้ดต้นฉบับของมัลแวร์ เราพบว่าในปัจจุบันกลุ่มวายร้ายได้แพร่กระจายมัลแวร์ใหม่ที่จะทำการเปลี่ยนการตั้งค่า DNS ของระบบให้เป็นเซิร์ฟเวอร์ (ลวง) เฉพาะขึ้นมาหนึ่งคู่
เซิร์ฟเวอร์เหล่านี้จะเริ่มทำการกำหนดชื่อโดเมนให้เป็นที่อยู่ IP ที่เป็นอันตราย หลังจากที่คอมพิวเตอร์ติดเชื้อแล้วประมาณหนึ่งสัปดาห์ เราเชื่อว่าการดำเนินการดังกล่าวเป็นความพยายามที่จะขยายช่วงอายุของบ็อตให้นานขึ้น โดยเมื่อส่วนประกอบของตัวปล้นเบราว์เซอร์ถูกเอาออกจากเครื่องคอมพิวเตอร์ที่ติดเชื้อแล้ว DNS Changer อาจยังคงมีอยู่ภายในระบบ เพื่อให้บ็อตสามารถถูกใช้เป็นเครื่องมือในการปล้นทราฟฟิกด้วยเทคนิค DNS ได้ ดังนั้นจึงไม่แปลกที่ช่วงอายุของบ็อตจะใเพิ่มมากขึ้น
เราคาดว่าตัวปล้นบราวเซอร์จะได้รับการพัฒนาและมีความยืดหยุ่นมากขึ้นในอนาคต อย่างเทคนิคขั้นสูงในการแทนที่โฆษณาที่ถูกต้องด้วยโฆษณาจอมปลอมซึ่งกำลังเกิดขึ้นอยู่ในขณะนี้ โดยบ็อตเน็ตที่กล่าวถึงในบทความนี้จะแทนที่โฆษณาของ DoubleClick ด้วยโฆษณาของ Clicksor เมื่อมีการเปิดใช้งานส่วนประกอบของ DNS ลวง นี่คือรูปแบบของการขโมยคลิกที่ยากจะตรวจจับได้ในส่วนของ DoubleClick อย่างไรก็ตามในกรณีนี้เราเชื่อว่าไม่มีบริษัทตัวกลางระหว่าง Clicksor และแก๊งค์อาชญากรรม และเรายังเชื่อด้วยว่า Clicksor ควรจะตรวจจับกลโกงนี้ได้ อย่างไรก็ตามถ้ามีการใช้ตัวกลางจอมปลอมขึ้นมา การตรวจจับนี้ก็อาจกลายเป็นเรื่องที่ยุ่งยากมากขึ้น
สำหรับผู้ใช้ที่มีความกังวลเกี่ยวกับการโจมตีบราวเซอร์สามารถดาวน์โหลดเครื่องมือป้องกัน Trend Micro Browser Guard ได้ฟรีที่ http://free.antivirus.com/browser-guard/
สอบถามรายละเอียดเพิ่มเติมติดต่อ
บริษัท คอร์ แอนด์ พีค จำกัด ที่ปรึกษาประชาสัมพันธ์ บุษกร สนธิกร
โทร +66 (0) 2439 4600 ต่อ 8202 อีเมล [email protected]