Threats

โฆษณาปลอม กับ DNS Unlocker

พวกคุณเคยเห็นโฆษณาแปลกๆบ้างหรือไม่? รูปข้างล่างเป็นตัวอย่างที่ดีของโฆษณาหลอก แล้วมันมาจากไหนล่ะ? โฆษณาเหล่านี้เกิดจาก PUA หรือ Potentially Unwanted Application (PUA) ที่ชื่อว่า DNS Unlocker และอื่นๆ

DNS locker จะไปเปลี่ยนแปลงการตั้งค่า Network Setting ให้ตรงกับ DNS เซิร์ฟเวอร์ ที่พวกเขาต้องการ เมื่อเบราว์เซอร์เหยื่อเรียกหา google-analytics.com DNS เซิร์ฟเวอร์ของอาชญากรก็จะส่งคุณไปยังเซิร์ฟเวอร์ที่มี JavaScript ทำให้โฆษณาเหล่านี้ปรากฎขึ้นบนเว็บเพจที่ใช้ Google Analytics และผู้ใช้จะเห็นข้อความเล็กๆด้านล่างว่า “ Ads by DNSUnlocker” หรืออะไรอย่างเช่น “support scam” บนป๊อปอัพ

Figure1-243gn-1024x644 Figure2-9wffa-1024x618

การเปลี่ยนแปลงการตั้งค่า DNS

DNS hijackers ไม่ใช่สิ่งใหม่ แต่สิ่งที่น่าสนใจของ DNS Unlocker เวอร์ชันล่าสุดน่าจะเป็นวิธีที่พวกเขาใช้เพื่อปรับเปลี่ยนการตั้งค่าของเหยื่อ เมื่อเรามาดูที่คุณสมบัติของ TCP/IPv4 บน Windows ซึ่งถ้าหากเราดูจากรูปด้านล่างคงไม่เห็นอะไรผิดปกติ

Figure3-34qp8

แต่ประเด็นอยู่ตรงนี้อาชญากรใช้วิธีซ่อนเซิร์ฟเวอร์ DNS ที่ใช้คำว่า “ซ่อน” เพราะมันไม่ปรากฎอยู่ใน Primary และ Secondary ถ้าลองลงลึกไปดูในส่วนของ “Advanced” Tab “DNS” ตามรูปด้านล่าง

Figure4-3carv

อย่างที่คุณเห็นสอง IP ที่เขียนติดกัน และถ้าคุณเคยลองคลิดเพิ่ม IP คุณจะเห็นว่าคุณไม่สามารถเพิ่ม IP มากกว่าหนึ่ง IP ได้

วิธีแก้ไข

คุณสามารถลบมันออกได้อย่างง่ายดายโดยการคลิก Remove เจ้า IP อันนั้น เพราะฉะนั้นอย่าลืมเข้าไปเช็คมันล่ะ

ทาง ESET รายงานเรื่องนี้ไปยัง Microsoft Security Response Center (MSRC) เมื่อวันที่ 10 พฤษภาคม 2016 โดยที่ MSRC รับเรื่องเรียบร้อยแล้ว แต่พวกเขาบอกว่านี่ไม่นับเป็นช่องโหว่ของระบบ จึงไม่ทำการพิจารณาโดยทีมงานความปลอดภัย จึงนำเรื่องส่งไปให้ทีมที่เหมาะสมเพื่อดำเนินการแก้ไขต่อไป

IP ที่เข้าข่าย (IoC)

เวอร์ชันของ DNS Unlocker ที่ถูกตรวจจับโดย ESET ในชื่อ MSIL/Adware.CloudGuard.C มีดังนี้:

  • 203.131.145
  • 203.131.150 ถึง 199.203.131.152
  • 163.142.2 ถึง 82.163.142.7
  • 163.142.66 ถึง 82.163.142.70
  • 163.142.130 ถึง 82.163.142.189
  • 163.143.131 ถึง 82.163.143.190
  • 211.158.129 ถึง 95.211.158.135
  • 211.158.145 ถึง 95.211.158.151

ส่วน HTTP เซิร์ฟเวอร์ที่ใส่ JavaScript ไว้ในโฆษณามีดังนี้:

  • 163.143.23 ถึง 82.163.143.250
  • 88.193.133 ถึง 209.88.193.141
%d bloggers like this: