Google ถอดส่วนเสริม QuickLens ออกจากเว็บสโตร์ของ Chrome แล้วหลังขโมยข้อมูลคริปโตจากเหยื่อ 7000 ราย

Google ถอดส่วนเสริม QuickLens ออกจากเว็บสโตร์ของ Chrome แล้วหลังขโมยข้อมูลคริปโตจากเหยื่อ 7000 ราย

Chrome นั้นเรียกได้ว่าเป็นเว็บเบราว์เซอร์ยอดนิยมจากทาง Google ที่มีผู้ใช้งานกันเป็นจำนวนมาก ทั้งยังมีส่วนเสริม หรือ Extension ที่เข้ามาเสริมความสามารถ อำนวยความสะดวกให้กับผู้ใช้งานมากมาย และแน่นอนว่า ไม่ใช่ทุกส่วนเสริมที่จะปลอดภัย หลายตัวก็มีมัลแวร์แฝงมาด้วย

จากรายงานโดยเว็บไซต์ SCWorld ได้กล่าวถึงการที่ส่วนเสริมยอดนิยมบน Chrome อย่าง QuickLens - Search Screen with Google Lens ได้ถูกทาง Google ทำการลบออกจากเว็บสโตร์สำหรับการจำหน่ายแจกจ่ายส่วนเสริมของ Chrome อย่างเป็นทางการ Chrome Web Store หลังจากที่เวอร์ชัน 5.8 ซึ่งเป็นรุ่นล่าสุดของส่วนเสริมดังกล่าวได้ถูกแฮกสอดแทรกโค้ดมัลแวร์ลงไป ภายหลังจากที่ความเป็นเจ้าของ (Ownership) ของส่วนเสริมนั้นถูกเปลี่ยนมือจากผู้พัฒนารายเดิมไปยังผู้พัฒนารายอื่น ซึ่งเวอร์ชันที่ปนเปื้อนมัลแวร์นี้ก่อนที่จะถูกทาง Google ลบทิ้งนั้นได้มีผู้หลงดาวน์โหลดไปมากถึง 7,000 รายด้วยกัน

โดยในเวอร์ชันที่ปนเปื้อนมัลแวร์นั้นจะมีการลบการรักษาความปลอดภัยในส่วนหัว (Security Headers) อย่าง Content-Security-Policy ออก ทั้งยังมีการขอสิทธิ์ในการเข้าถึงเว็บเบราว์เซอร์ (Permission) ในระดับที่สูงมาก ทั้งยังนำไปสู่การรันสคริปท์แบบ JavaScript เพื่อติดต่อกับเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control) เพื่อส่งข้อมูลอัตลักษณ์ (Fingerprint) ของเหยื่อ และรอรับคำสั่งต่าง ๆ จากเซิร์ฟเวอร์ C2

ไม่เพียงเท่านั้นตัวมัลแวร์ตัวนี้ยังมีการหลอกลวงเหยื่อด้วยวิธีการใช้การแจ้งเตือนอัปเดตปลอม หรือแม้กระทั่งการใช้การแจ้งเตือนข้อผิดพลาดปลอม ซึ่งเป็นวิธีการหลอกลวงแบบ ClickFix ที่จะนำไปสู่การดาวน์โหลด และรันไฟล์ติดตั้งมัลแวร์ที่ดาวน์โหลดลงมาจากเซิร์ฟเวอร์ C2 ซึ่งมัลแวร์ดังกล่าวนั้นจะเป็นมัลแวร์ประเภทขโมยข้อมูล หรือ Infostealer ที่มุ่งเน้นการขโมยรหัสสำหรับการกู้กระเป๋าคริปโตเคอร์เรนซี (Seed Phase) จากกระเป๋าเงินยอดนิยมต่าง ๆ เช่น MetaMask และ Phantom นอกจากนั้นตัวมัลแวร์ยังมีความสามารถในการขโมยรหัสผ่าน และข้อมูลอ่อนไหวอื่น ๆ อีกด้วย