พบ browser extensions อันตรายกว่า 100 รายการบน Google Chrome Web Store ซึ่งปลอมแปลงเป็น VPNs, AI assistants และ crypto utilities เพื่อขโมย browser cookies และเรียกใช้ scripts จากระยะไกล
โดย browser extensions เหล่านี้มีฟังก์ชันการทำงานที่สามารถทำงานได้จริง แต่ก็มีการเชื่อมต่อไปยังโครงสร้างพื้นฐานของ Hacker เพื่อขโมยข้อมูลของผู้ใช้งาน หรือรับคำสั่งให้ดำเนินการอื่น ๆ นอกจากนี้ Chrome extensions ที่เป็นอันตรายเหล่านี้สามารถปรับเปลี่ยน network traffic เพื่อแสดงโฆษณา, ทำการ redirections หรือทำหน้าที่เป็น proxy ได้
แคมเปญนี้ถูกค้นพบโดยนักวิจัยด้านความปลอดภัยจาก DomainTools ซึ่งตรวจพบโดเมนปลอมกว่า 100 โดเมนที่โปรโมตเครื่องมือดังกล่าวต่อผู้ใช้งานที่ไม่ระมัดระวังผ่านการโฆษณา
รายชื่อเว็บไซต์อันตรายกว่า 100 แห่งของ DomainTools ประกอบไปด้วย VPN brands ปลอมหลายแบรนด์ รวมถึงความพยายามเลียนแบบแบรนด์อื่น ๆ เช่น Fortinet, YouTube, DeepSeek AI และ Calendly :
- earthvpn[.]top
- irontunnel[.]world and iron-tunnel[.]com
- raccoon-vpn[.]world
- orchid-vpn[.]com
- soul-vpn[.]com
- forti-vpn[.]com and fortivnp[.]com
- debank-extension[.]world and debank[.]sbs, debank[.]click
- youtube-vision[.]com and youtube-vision[.]world
- deepseek-ai[.]link
- calendlydaily[.]world, calendlydocker[.]com, calendly-director[.]com
- whale-alerts[.]org and whale-alert[.]life
- madgicxads[.]world and madgicx-plus[.]com
- similar-net[.]com
- workfront-plus[.]com
- flight-radar[.]life
เว็บไซต์เหล่านี้จะมีปุ่ม "Add to Chrome" ที่เชื่อมโยงไปยัง browser extensions ที่เป็นอันตราย แต่เนื่องจากอยู่บน Chrome Web Store ทำให้ดูน่าเชื่อถือมากขึ้น
แม้ว่า Google จะลบ extensions บางส่วนที่ DomainTools ระบุไว้ แต่ BleepingComputer ยืนยันว่ายังมีบางส่วนที่ยังอยู่ใน Chrome Web Store
ซึ่งความล่าช้าในการตรวจจับ และลบออก ก่อให้เกิดภัยคุกคามต่อผู้ใช้งานที่กำลังมองหาเครื่องมือเพิ่มประสิทธิภาพการทำงาน และการปรับปรุงเบราว์เซอร์
แม้ว่า extension แต่ละส่วนจะมีฟังก์ชันการทำงานที่แตกต่างกัน แต่ extension เหล่านี้จะขอการอนุญาตที่มีความเสี่ยงเพื่อให้สามารถขโมยข้อมูล cookies ได้ รวมถึง session tokens, โจมตี DOM-based phishing และโจมตีแบบ dynamic script injection
ตัวอย่างเช่น "fortivpn" extension ใช้เพื่อขโมย cookies โดยทำหน้าที่เป็น proxy server แก้ไข network traffic และเรียกใช้สคริปต์ JavaScript ที่ต้องการจาก remote server เมื่อได้รับคำสั่ง ระบบจะใช้ chrome.cookies.getAll({}) เพื่อดึง browser cookies ทั้งหมด compresses โดยใช้ pako จากนั้น encodes ในรูปแบบ Base64 และส่งกลับไปยัง backend infograph[.]top server
ทำให้สามารถสั่งให้สร้างการเชื่อมต่อ WebSocket แยกต่างหากเพื่อทำหน้าที่เป็น network proxy ซึ่งอาจกำหนดเส้นทางการรับส่งข้อมูลของผู้ใช้ผ่านเซิร์ฟเวอร์ที่เป็นอันตรายได้ proxy target จะได้รับจาก backend command และยังใช้การจัดการ proxy authentication อีกด้วย
ความเสี่ยงที่เกิดจากการติดตั้ง extensions เหล่านี้ได้แก่ การแฮ็กบัญชี, การขโมยข้อมูลส่วนบุคคล และการตรวจสอบการท่องเว็บไซต์ ในที่สุดแล้ว extensions เหล่านี้จะเปิดทางให้ Hacker เข้าถึงเบราว์เซอร์ที่ติดมัลแวร์ได้ ดังนั้นจึงมีโอกาสถูกโจมตีได้อย่างกว้างขวาง
Hacker อาจใช้ session cookies ที่ขโมยมาเพื่อเจาะอุปกรณ์ หรือบัญชี VPN ของบริษัทเพื่อเข้าถึงเครือข่ายขององค์กร ซึ่งก่อให้เกิดการโจมตีที่ร้ายแรงยิ่งขึ้น
เพื่อลดความเสี่ยงในการดาวน์โหลด extensions ที่เป็นอันตรายจาก Chrome Web Store ควรดาวน์โหลดเฉพาะจาก publishers ที่มีชื่อเสียง และตรวจสอบรีวิวของผู้ใช้งานเพื่อตรวจสอบการแจ้งเตือนเกี่ยวกับการโจมตี
ที่มา :bleepingcomputer
You must be logged in to post a comment.