มัลแวร์ขโมยข้อมูลบนส่วนเสริม Chrome อีก 108 ตัว กระทบเหยื่อกว่า 2 หมื่นราย

ตรวจพบมัลแวร์ขโมยข้อมูลบนส่วนเสริม Chrome อีก 108 ตัว กระทบเหยื่อกว่า 2 หมื่นราย

ส่วนเสริมบนเว็บเบราว์เซอร์ หรือ Extension นั้นอาจเป็นสิ่งที่ช่วยให้เว็บเบราว์เซอร์สามารถทำงานได้อย่างหลากหลาย สร้างความสะดวกให้กับผู้ใช้งาน แต่ปัจจุบันนั้นกลับมีการตรวจพบส่วนเสริมปลอมแฝงมัลแวร์จำนวนมาก ที่อาจทำให้ผู้ใช้งานแทนที่จะได้รับความสะดวก กลับต้องเดือดร้อนแทน

จากรายงานโดยเว็บไซต์ The Hacker News ได้กล่าวถึงการตรวจพบส่วนเสริมของเว็บเบราว์เซอร์ Chrome ปลอมแฝงมัลแวร์มากถึง 108 ตัว ที่ทุกตัวนั้นมีพฤติกรรมเหมือนกันคือ มีการเชื่อมต่อกับโครงสร้างพื้นฐานสำหรับการสั่งการควบคุมมัลแวร์ (C2 หรือ Command and Control) แห่งเดียวกันทั้งหมด โดยจะติดต่อไปยังเซิร์ฟเวอร์ C2 ที่ตั้งอยู่ที่ 144.126.135[.]238 ซึ่งส่วนเสริมเหล่านี้ต่างมีจุดประสงค์เหมือนกันคือใช้ในการขโมยข้อมูลสำคัญจำพวกรหัสผ่าน (Credential), ตัวตนของผู้ใช้งาน (User Identity) และข้อมูลการเข้าเยี่ยมชมเว็บไซต์ต่าง ๆ ที่ร้ายไปกว่านั้นคือ ส่วนเสริม 56 ตัวจากทั้งหมด 108 ตัวนั้น มีความสามารถในการขโมยบัญชี Google ผ่านทางระบบ OAuth2, 45 ส่วนเสริมจากทั้งหมดมีความสามารถในการเป็นประตูหลังของระบบ (Backdoor) ให้กับแฮกเกอร์ เพื่อนำมาใช้ในกิจกรรมดังต่อไปนี้

แอบลักลอบส่งออกข้อมูล (Exfiltration) การใช้งานแอปพลิเคชันแชท Telegram ทุก ๆ 15 วินาที

ลบส่วนหัว (Header) ที่สำคัญของ TikTok และ Youtube เช่น Content Security Policy, X-Frame-Options, และ CORS แล้วยิงโค้ด (Injection) ให้แสดงผลโฆษณาเว็บไซต์การพนันออนไลน์แทน

ยิงสคริปท์ให้แสดงคอนเทนต์ตามที่แฮกเกอร์ต้องการ บนทุกเว็บไซต์ที่เหยื่อเข้าใช้งาน

เปลี่ยนเส้นทาง (Proxy) การร้องขอแปลภาษา (Translation Request) ไปยังเซิร์ฟเวอร์ของแฮกเกอร์

ซึ่งจากการเปิดเผยของทีมวิจัยจาก Socket บริษัทผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์ พบว่า ส่วนเสริมทั้ง 108 นั้นมาจากผู้จัดจำหน่าย (Publishers) เพียง 5 ราย อันประกอบด้วย Yana Project, GameGen, SideGames, Rodeo Games และ InterAlt โดยมีผู้ติดตั้งส่วนเสริมทั้งหมดรวมแล้วกว่า 2 หมื่นรายในปัจจุบัน ซึ่งตัวอย่างของส่วนเสริมอันตรายนั้นมี ดังนี้

Telegram Multi-account (ID: obifanppcpchlehkjipahhphbcbjekfa) ส่วนเสริมที่อ้างว่าช่วยให้ใช้งานบัญชี (Account) ของ Telegram ได้หลายบัญชีพร้อมกัน แต่แท้จริงแล้วแอบขโมย Token ของ user_auth ซึ่งใช้ยืนยันตัวตนผู้ใช้งานบน Telegram Web ส่งกลับไปให้แฮกเกอร์ รวมทั้งสามารถเขียนทับข้อมูลในส่วน localStorage ด้วยข้อมูล Session การใช้งานที่ทางแฮกเกอร์ส่งมาให้ เพื่อเปลี่ยน Session ของเหยื่อ ให้เป็น Session ที่แฮกเกอร์ต้องการแทน

Web Client for Telegram - Teleside (ID: mdcfennpfgkngnibjbpnpaafcjnhcjno) มีความสามารถในการลบ Header ของ Telegram แล้วยิงสคริปท์สำหรับขโมยบัญชีของเหยื่อ

Formula Rush Racing Game (ID: akebbllmckjphjiojeioooidhnddnplj) ใช้ในการขโมยบัญชี Google ผ่านทางการหลอกให้กดปุ่ม Sign-In โดยข้อมูลที่ขโมยได้จะประกอบด้วย อีเมล, รูปโปรไฟล์, ชื่อเต็ม, และเลขบัญชี Google

แหล่งข่าวไม่ได้มีการระบุว่าทาง Google ได้ทำการลบส่วนเสริมอันตรายเหล่านี้ออกจาก Web Store แล้ว หรือ ยัง ทั้งยังไม่สามารถระบุได้ชัดว่าใครที่อยู่เบื้องหลังเหตุอุกอาจนี้ แต่มีข้อสันนิษฐานว่า แฮกเกอร์จากประเทศรัสเซียอาจเป็นผู้อยู่เบื้องหลัง เนื่องจากมีภาษารัสเซียแทรกอยู่บนโค้ดของส่วนเสริมจำนวนมาก