Chrome extensions ที่เป็นอันตราย 3 รายการที่ปลอมเป็น VPN (Virtual Private Networks) ได้รับการดาวน์โหลดไปแล้วกว่า 1.5 ล้านครั้ง โดยจะทำหน้าที่เป็น Browser hijackers, Cashback hack tools และ Data stealers

ข้อมูลจาก ReasonLabs พบว่า extensions ที่เป็นอันตรายเหล่านี้ถูกส่งผ่านโปรแกรมติดตั้งที่ซ่อนอยู่ในการละเมิดลิขสิทธิ์เกมยอดนิยม เช่น Grand Theft Auto, Assassin Creed และ The Sims 4 ซึ่งทั้งหมดถูกแจกจ่ายผ่านเว็บไซต์ torrent

ReasonLabs แจ้งให้ Google ทราบเกี่ยวกับการค้นพบครั้งนี้แล้ว โดย Google ได้ลบ extensions เหล่านี้ออกจาก Chrome Web Store เรียบร้อยแล้ว แต่พบว่า extensions เหล่านี้ได้รับการดาวน์โหลดไปแล้วกว่า 1.5ล้านครั้ง โดย extensions ที่เป็นอันตราย ได้แก่ netPlus (การติดตั้ง 1 ล้านครั้ง), netSave และ netWin (การติดตั้ง 500,000 ครั้ง)

การติดมัลแวร์นี้ส่วนใหญ่จะอยู่ในรัสเซีย และประเทศใกล้เคียงต่าง ๆ เช่น ยูเครน, คาซัคสถาน และเบลารุส ดังนั้นแคมเปญนี้ดูเหมือนจะมุ่งเป้าไปที่ประเทศที่ใช้ภาษารัสเซีย

การสร้าง Extensions VPN ปลอม

ReasonLabs ค้นพบไฟล์ torrent กว่าพันไฟล์ที่ส่งไฟล์ตัวติดตั้งที่เป็นอันตราย ซึ่งเป็นแอปที่มีขนาดระหว่าง 60MB ถึง 100MB การติดตั้ง extensions VPN จะเกิดขึ้นโดยอัตโนมัติ และบังคับใช้ในระดับรีจิสทรีโดยไม่ต้องการการโต้ตอบจากผู้ใช้ และไม่จำเป็นต้องมีการดำเนินการใด ๆ จากเครื่องเหยื่อ

จากนั้นตัวติดตั้งจะตรวจสอบโปรแกรมป้องกันมัลแวร์บนเครื่อง แล้วลบ netSave บน Google Chrome และ netPlus บน Microsoft Edge ซึ่งครอบคลุมกรณีการใช้งานทั้งสองกรณี

การวิเคราะห์โค้ดแสดงให้เห็นว่า extensions ยังสามารถเข้าถึง "tabs," "storage," "proxy," "webRequest," "webRequestBlocking," "declarativeNetRequest," "scripting," "alarms," "cookies," "activeTab," "management" และ "offscreen"

ReasonLabs ชี้ให้เห็นว่าการใช้สิทธิ์ 'offscreen' ทำให้มัลแวร์สามารถเรียกใช้สคริปต์ผ่าน Offscreen API และโต้ตอบอย่างลับ ๆ กับ DOM ปัจจุบันของหน้าเว็บ (Document Object Model) การเข้าถึง DOM อย่างครอบคลุมนี้ช่วยให้ extensions สามารถขโมยข้อมูลผู้ใช้ที่มีความสำคัญ ทำการ browsing hijacks, ควบคุมจัดการ web requests และแม้แต่ปิดการใช้งาน extensions อื่น ๆ ที่ติดตั้งบนเบราว์เซอร์

คุณลักษณะเพิ่มเติมของ extensions นี้คือการปิดใช้งาน extensions แคชแบ็คและคูปองอื่น ๆ เพื่อหยุดการทำงานบนอุปกรณ์ที่ติดมัลแวร์ และเปลี่ยนเส้นทางไปยังผู้โจมตี

ReasonLabs รายงานว่ามัลแวร์นี้มีเป้าหมายมากกว่า 100 Cashback extensions รวมถึง Avast SafePrice, AVG SafePrice, Honey: Automatic Coupons & Rewards, LetyShops, Megabonus, AliRadar Shopping Assistant, Yandex.

นักวิเคราะห์ภัยคุมคามจาก McAfee พบ Extensions 5 ตัวในเว็บเบราว์เซอร์ของ Google Chrome ที่ปลอมแปลงเป็น Extension ของ Netflix และอื่น ๆ เพื่อขโมยประวัติการเข้าเว็บไซต์ต่างๆของผู้ใช้งาน และสร้างรายได้จากการช็อปปิ้งออนไลน์ของเหยื่อ

Oliver Devane และ Vallabh Chole นักวิเคราะห์จาก McAfee ระบุว่า "Extensions เหล่านี้ มีฟังก์ชันต่าง ๆ เช่น ให้ผู้ใช้สามารถรับชมรายการ Netflix ร่วมกัน คูปองส่วนลดจากเว็บไซต์ และการบันทึกหน้าจอของเว็บไซต์"

Chrome Extensions ดังกล่าวสามารถดาวน์โหลดได้ผ่านทาง Chrome Web Store โดยมียอดดาวน์โหลดรวมกว่า 1.4 ล้านครั้ง

Netflix Party (mmnbenehknklpbendgmgngeaignppnbe) - ดาวน์โหลด 800,000 ครั้ง
Netflix Party (flijfnhifgdcbhglkneplegafminjnhn) - ดาวน์โหลด 300,000 ครั้ง
FlipShope – ส่วนขยายตัวติดตามราคา (adikhbfjdbjkhelbdnffogkobkekkkej) - 80,000 ดาวน์โหลด
Full Page Screenshot Capture – Screenshotting (pojgkmkfincpdkdgjepkmdekcahmckjp) - ดาวน์โหลด 200,000 ครั้ง
AutoBuy Flash Sales (gbnahglfafmhaehbdmjedfhdmimjcbed) - ดาวน์โหลด 20,000 ครั้ง

Extensions ออกแบบมาเพื่อโหลด JavaScript ที่ใช้ในการเก็บข้อมูลการเยี่ยมชมเว็ปไซต์ และแทรกโค้ดลงใน e-commerce portals ซึ่งจะทำให้ผู้โจมตีสามารถได้ส่วนแบ่งรายได้ หากเหยื่อซื้อของบนเว็ปไซต์ช็อปปิ้งออนไลน์ต่าง ๆ

"ทุกเว็บไซต์ที่เข้าชมจะถูกส่งไปยังเซิร์ฟเวอร์ที่ผู้สร้าง Extensions เป็นเจ้าของ" นักวิจัยระบุว่า"พวกเขาทำเช่นนี้เพื่อให้สามารถแทรกโค้ดลงในเว็บไซต์ e-commerce ที่เหยื่อกำลังเข้าชมได้"

มัลแวร์ยังตั้งเวลาทำงานไว้ 15 วัน นับจากวันที่ติดตั้ง Extensions เพื่อช่วยให้หลีกเลี่ยงการถูกตรวจจับพฤติกรรมที่ผิดปกติได้

การค้นพบครั้งนี้เกิดขึ้นหลังจากการค้นพบ Extensions บนเบราว์เซอร์ Chrome 13 ตัวในเดือนมีนาคม 2565 ซึ่งมีการเปลี่ยนเส้นทางผู้ใช้ในสหรัฐอเมริกา ยุโรป และอินเดียไปยังเว็ปไซต์ฟิชชิ่ง และขโมยข้อมูลสำคัญของเหยื่อ

เมื่อวันพุธที่ผ่านมา Extensions ทั้ง 5 ตัวได้ถูกลบออกจาก Chrome เว็บสโตร์แล้ว อย่างไรก็ตามขอแนะนำให้ผู้ใช้ที่ติดตั้ง Extensions ดังกล่าวไปแล้ว ลบออกจากเบราว์เซอร์ Chrome ด้วยตนเองเพื่อลดความเสี่ยงอื่น ๆ ที่จะตามมาภายหลัง

ที่มา : thehackernews

Extension ที่ช่วยในการบล็อกโฆษณาชื่อ AllBlock Chromium มีการแอบแทรกลิงก์ที่สร้างรายได้ให้กับนักพัฒนาได้

Extension นี้ยังคงมีอยู่ในเว็บสโตร์ของ Chrome และมีการโฆษณาว่าสามารถบล็อกโฆษณาที่ YouTube และ Facebook เพื่อป้องกันป๊อปอัป และเพิ่มความเร็วในการเข้าใช้งานได้ดีขึ้นอีกด้วย

อย่างไรก็ตาม ตามที่นักวิจัยของ Imperva ระบุ Extension นี้แสดงโฆษณาที่หลอกลวง โดยมีการทำให้ URL ที่ถูกต้องเปลี่ยนเส้นทางไปยังลิงก์ที่สร้างรายได้ให้นักพัฒนา

การแทรกโฆษณา หรือลิงก์ลงในหน้าเว็บ ทำให้ผู้หลอกลวงสร้างรายได้จากโฆษณา หรือเปลี่ยนเส้นทางผู้คนไปยังเว็ปไซต์ในเครือข่ายพันธมิตรเพื่อรับค่าตอบแทน

ในเดือนสิงหาคม พ.ศ. 2564 นักวิจัยของ Imperva ค้นพบชุดโดเมนที่เป็นอันตรายที่ไม่เคยพบมาก่อนหน้านี้ถูกกระจายผ่านสคริปต์การแทรกโฆษณา

สคริปต์ที่เป็นอันตรายนี้จะส่ง URL ที่ถูกต้องไปยังเซิร์ฟเวอร์ที่ผู้ไม่หวังดีสร้างขึ้น เพื่อรับการตอบกลับด้วยโดเมนที่เมื่อผู้ใช้งานเผลอคลิกลิงก์ก็จะถูกนำไปสู่เว็ปไซต์อื่นๆ ซึ่งปกติแล้วจะเป็นลิงก์ในเครือข่ายพันธมิตรเพื่อให้นักพํฒนาได้รับค่าตอบแทน

สคริปต์นี้ยังมีเทคนิคการหลีกเลี่ยงการตรวจจับ เช่น ยกเว้นการทำงานใน Search Engine ของประเทศรัสเซีย, ล้างคอนโซลการดีบักทุกๆ 100 ms และตรวจจับตัวแปร Firebug ที่เริ่มต้นใช้งานอยู่

จากการศึกษาในรายละเอียดของ AllBlock ทีมงานของ Imperva พบสคริปต์ที่ชื่อว่า "bg.

Google ลบ Chrome Extensions ที่ซ่อนโค้ดไว้เพื่อขโมย Cryptocurrency Wallets ออกจากเว็บสโตร์ 49 รายการ

Google ได้ทำการลบ Chrome Extensions จำนวน 49 รายการออกจากเว็บสโตร์ออฟฟิเชียล หลังพบว่า Extensions ดังกล่าวแฝงมัลแวร์ไว้เพื่อขโมยข้อมูล Cryptocurrency Wallets

Chrome Extensions เหล่านี้ถูกค้นพบโดยนักวิจัยจาก PhishFort และ MyCrypto โดย Extensions เหล่านี้ถูกปลอมเเปลงและแฝงมัลแวร์เพื่อใช้ในการขโมยข้อมูลที่เกี่ยวข้องกับ Mnemonic Phrases, Private Keys และ Keystore files ของ Cryptocurrency Wallets จะส่งข้อมูลที่ถูกขโมยไปยังผู้โจมตีผ่านคำขอ HTTP POST นอกจากนี้มัลแวร์ยังใช้เซิร์ฟเวอร์ C2 ที่ไม่ซ้ำกัน 14 แห่ง

ทั้งนี้พบว่าเป็น Extensions ดังกล่าวนั้นเกี่ยวข้องกับ Cryptocurrency ของแบรนด์ดังหลายเจ้าเช่น Trezor, Jaxx, Electrum, MyEtherWallet, MetaMask, Exodus, และ KeepKey

เมื่อได้รับรายงานนักวิจัยจาก Google ได้ทำการลบ Extensions ดังกล่าวภายใน 24 ชั่วโมง และในเดือนกุมภาพันธ์ Google ได้ทำการลบ Chrome Extensions ที่เป็นอันตรายมากกว่า 500 รายการออกจากเว็บสโตร์หลังจากพบว่ามีการแฝงโค้ดที่เป็นอันตรายเพื่อใช้ขโมยข้อมูลของผู้ใช้งาน

ที่มา: hackread