นักวิจัยด้านความปลอดภัยจากทีม Socket Threat Research ได้เปิดเผย extensions บนเบราว์เซอร์ Firefox ที่เป็นอันตรายจำนวน 8 รายการ ซึ่งออกแบบมาอย่างซับซ้อนเพื่อขโมย OAuth token, รหัสผ่าน และสอดแนมพฤติกรรมของผู้ใช้งาน
การค้นพบครั้งนี้เผยให้เห็นถึงการปฏิบัติการที่ประสานงานกันอย่างดี โดยอาศัยชื่อเกมยอดนิยม และแอปพลิเคชันต่าง ๆ เพื่อโจมตี และละเมิดความปลอดภัยของผู้ใช้ Firefox
เครือข่ายการฉ้อโกง Gaming Extension รายใหญ่
การสืบสวนเริ่มต้นจาก Extension ที่เป็นอันตรายตัวหนึ่งที่ชื่อว่า “Shell Shockers” แต่ขยายตัวอย่างรวดเร็วจนเผยให้เห็นเครือข่ายของ extension เกมปลอมทั้งหมดที่ดำเนินการโดยกลุ่มผู้โจมตี mre1903
อาชญากรไซเบอร์รายนี้ ซึ่งเริ่มปฏิบัติการมาตั้งแต่เดือนมิถุนายน 2018 ได้สร้าง extension ปลอมอย่างเป็นระบบ โดยแฝงตัวมาในรูปแบบของเกมยอดนิยม เช่น Little Alchemy 2, 1v1.LOL, Krunker io Game, Five Nights at Freddy’s และ Bubble Spinner
Extension ที่เป็นอันตรายเหล่านี้อาศัยความไว้วางใจของผู้ใช้งาน ด้วยการปลอมตัวเป็นเกมชื่อดังที่มีผู้เล่นนับล้านทั่วโลก
อย่างไรก็ตาม แทนที่จะให้ประสบการณ์การเล่นเกมจริง extension เหล่านี้จะเปลี่ยนเส้นทางผู้ใช้ไปยังเว็บไซต์พนันออนไลน์ และหน้าเว็บไซต์หลอกลวงแจ้งเตือนมัลแวร์ปลอมของ Apple
วิธีการของกลุ่มผู้โจมตีนี้แสดงให้เห็นถึงแคมเปญที่ประสานงานกันซึ่งออกแบบมาเพื่อเพิ่มการเข้าถึงสูงสุด พร้อมกับหลีกเลี่ยงการตรวจจับผ่านการกระจายการใช้งานไปยังเกมยอดนิยมหลายเกม
นอกเหนือจากการหลอกเปลี่ยนเส้นทางแบบง่าย ๆ แล้ว นักวิจัยยังพบว่า extension บางตัวใช้เทคนิคโจมตีที่ซับซ้อนหนึ่งในนั้นคือ CalSyncMaster ซึ่งแอบอ้างเป็นเครื่องมือซิงโครไนซ์ Google Calendar ที่ถูกต้อง ซึ่งถือเป็นภัยคุกคามร้ายแรงที่สุดในการวิเคราะห์
Extension นี้ทำการขโมยข้อมูล OAuth Token โดยขโมยโทเค็นของ Google Authentication ซึ่งเปิดทางให้ผู้โจมตีสามารถเข้าถึงข้อมูลส่วนตัว และข้อมูลทางธุรกิจของผู้ใช้ได้อย่างต่อเนื่อง
โค้ดอันตรายนี้มุ่งเป้าไปที่ Google Calendar API โดยเฉพาะ โดยขอสิทธิ์แบบ Read-only ซึ่งทำให้ผู้โจมตีสามารถเข้าถึงกำหนดการนัดหมาย, แผนการเดินทาง, กิจกรรมทางธุรกิจ และข้อมูลติดต่อของผู้ใช้ได้อย่างต่อเนื่อง
ผู้เชี่ยวชาญด้านความปลอดภัยเตือนว่า โครงสร้างของ extension เหล่านี้สามารถขยายขอบเขตการเข้าถึงได้อย่างง่ายดาย ซึ่งอาจทำให้เกิดการจัดการเหตุการณ์ หรือการลบข้อมูลผ่านการอัปเดตเล็กน้อย
VPN Grab A Proxy Free extension ซึ่งโฆษณาว่าเป็นบริการ VPN ที่เน้นความเป็นส่วนตัว จะติดตามผู้ใช้อย่างลับ ๆ โดยแทรก invisible tracking iframe และกำหนดเส้นทางการรับส่งข้อมูลเว็บทั้งหมดผ่านพร็อกซีที่ผู้โจมตีควบคุม
การตั้งค่านี้เปิดช่องให้สามารถสอดแนมกิจกรรมของผู้ใช้ได้อย่างครอบคลุม รวมถึงการดักจับข้อมูลการเข้าสู่ระบบ, ข้อมูลส่วนบุคคล และการสื่อสารส่วนตัว
ในขณะเดียวกัน extension GimmeGimme มุ่งเป้าโจมตีเว็บไซต์ช้อปปิ้งในยุโรป เช่น bol.com และ coolblue.nl โดยแสร้งว่ามีคุณสมบัติสร้างรายการสินค้าที่อยากได้ พร้อมกับเปลี่ยนเส้นทางการช้อปปิ้งผ่านลิงก์ติดตามของระบบ Affiliate
ทำให้ผู้ใช้สร้างรายได้ให้กับผู้โจมตีโดยไม่รู้ตัว ขณะที่ถูกปฏิเสธคุณสมบัติที่โฆษณาไว้ ซึ่งถือเป็นการละเมิดความไว้วางใจ และความโปร่งใสของผู้ใช้อย่างชัดเจน
ภัยคุกคามจากเบราว์เซอร์ extension ที่เพิ่มขึ้น
การค้นพบในครั้งนี้แสดงให้เห็นถึงแนวโน้มที่น่าเป็นห่วงในโลกของความปลอดภัยไซเบอร์ ที่ extension ของเบราว์เซอร์กำลังกลายเป็นช่องทางการโจมตีที่นิยมมากขึ้น เนื่องจากการได้รับความไว้วางใจจากผู้ใช้, สิทธิ์การเข้าถึงระบบที่กว้างขวาง, ความสามารถในการทำงานภายในบริบทความปลอดภัยของเบราว์เซอร์
ความก้าวหน้าจากการหลอกลวงแบบเปลี่ยนเส้นทางแบบง่าย ๆ ได้พัฒนาไปสู่การขโมยข้อมูล OAuth credential แสดงให้เห็นว่าภัยคุกคามเหล่านี้พัฒนา และขยายตัวอย่างรวดเร็วเพียงใด
ผู้เชี่ยวชาญด้านความปลอดภัยแนะนำให้ผู้ใช้ตรวจสอบ extension บนเบราว์เซอร์ที่ติดตั้งเป็นประจำ และลบ extension ใด ๆ ที่ร้องขอสิทธิ์เกินฟังก์ชันที่ระบุไว้
องค์กรควรใช้ allow-lists สำหรับ extension ในองค์กร และตรวจสอบปริมาณการรับส่งข้อมูลเครือข่ายเพื่อหาการกำหนดค่าพร็อกซีที่ผิดปกติ หรือการสื่อสารภายนอกที่น่าสงสัย
ทีมวิจัยภัยคุกคามของ Socket เน้นย้ำว่า ภัยคุกคามเหล่านี้ต้องได้รับการเฝ้าระวังอย่างต่อเนื่องทั้งจากผู้ใช้ทั่วไป และองค์กร
การผสมผสานระหว่างกลยุทธ์ Social Engineering กับความซับซ้อนทางเทคนิค ทำให้ extension เหล่านี้มีประสิทธิภาพสูงในการหลอกลวงผู้ใช้ที่ไม่ทันระวัง โดยเฉพาะผู้ที่ไว้วางใจชื่อเกม หรือคุณสมบัติที่คุ้นเคย
ผู้ใช้ควรตรวจสอบ Firefox extension ที่ติดตั้งอยู่ในปัจจุบันทันที และลบ extension ที่ตรงกับแอปพลิเคชันอันตรายที่ถูกระบุไว้ เพื่อปกป้องข้อมูลส่วนตัว และข้อมูลการยืนยันตัวตน
ที่มา : Cybersecuritynews
You must be logged in to post a comment.