นักวิเคราะห์ภัยคุมคามจาก McAfee พบ Extensions 5 ตัวในเว็บเบราว์เซอร์ของ Google Chrome ที่ปลอมแปลงเป็น Extension ของ Netflix และอื่น ๆ เพื่อขโมยประวัติการเข้าเว็บไซต์ต่างๆของผู้ใช้งาน และสร้างรายได้จากการช็อปปิ้งออนไลน์ของเหยื่อ

Oliver Devane และ Vallabh Chole นักวิเคราะห์จาก McAfee ระบุว่า "Extensions เหล่านี้ มีฟังก์ชันต่าง ๆ เช่น ให้ผู้ใช้สามารถรับชมรายการ Netflix ร่วมกัน คูปองส่วนลดจากเว็บไซต์ และการบันทึกหน้าจอของเว็บไซต์"

Chrome Extensions ดังกล่าวสามารถดาวน์โหลดได้ผ่านทาง Chrome Web Store โดยมียอดดาวน์โหลดรวมกว่า 1.4 ล้านครั้ง

Netflix Party (mmnbenehknklpbendgmgngeaignppnbe) - ดาวน์โหลด 800,000 ครั้ง
Netflix Party (flijfnhifgdcbhglkneplegafminjnhn) - ดาวน์โหลด 300,000 ครั้ง
FlipShope – ส่วนขยายตัวติดตามราคา (adikhbfjdbjkhelbdnffogkobkekkkej) - 80,000 ดาวน์โหลด
Full Page Screenshot Capture – Screenshotting (pojgkmkfincpdkdgjepkmdekcahmckjp) - ดาวน์โหลด 200,000 ครั้ง
AutoBuy Flash Sales (gbnahglfafmhaehbdmjedfhdmimjcbed) - ดาวน์โหลด 20,000 ครั้ง

Extensions ออกแบบมาเพื่อโหลด JavaScript ที่ใช้ในการเก็บข้อมูลการเยี่ยมชมเว็ปไซต์ และแทรกโค้ดลงใน e-commerce portals ซึ่งจะทำให้ผู้โจมตีสามารถได้ส่วนแบ่งรายได้ หากเหยื่อซื้อของบนเว็ปไซต์ช็อปปิ้งออนไลน์ต่าง ๆ

"ทุกเว็บไซต์ที่เข้าชมจะถูกส่งไปยังเซิร์ฟเวอร์ที่ผู้สร้าง Extensions เป็นเจ้าของ" นักวิจัยระบุว่า"พวกเขาทำเช่นนี้เพื่อให้สามารถแทรกโค้ดลงในเว็บไซต์ e-commerce ที่เหยื่อกำลังเข้าชมได้"

มัลแวร์ยังตั้งเวลาทำงานไว้ 15 วัน นับจากวันที่ติดตั้ง Extensions เพื่อช่วยให้หลีกเลี่ยงการถูกตรวจจับพฤติกรรมที่ผิดปกติได้

การค้นพบครั้งนี้เกิดขึ้นหลังจากการค้นพบ Extensions บนเบราว์เซอร์ Chrome 13 ตัวในเดือนมีนาคม 2565 ซึ่งมีการเปลี่ยนเส้นทางผู้ใช้ในสหรัฐอเมริกา ยุโรป และอินเดียไปยังเว็ปไซต์ฟิชชิ่ง และขโมยข้อมูลสำคัญของเหยื่อ

เมื่อวันพุธที่ผ่านมา Extensions ทั้ง 5 ตัวได้ถูกลบออกจาก Chrome เว็บสโตร์แล้ว อย่างไรก็ตามขอแนะนำให้ผู้ใช้ที่ติดตั้ง Extensions ดังกล่าวไปแล้ว ลบออกจากเบราว์เซอร์ Chrome ด้วยตนเองเพื่อลดความเสี่ยงอื่น ๆ ที่จะตามมาภายหลัง

ที่มา : thehackernews

 

Google ได้ลบและบังคับให้ถอนการติดตั้ง Extension ที่มีชื่อว่า “The Great Suspender” ออกจาก Chrome web store โดย The Great Suspender เป็น Extension ที่นิยมอย่างมากและมีผู้ใช้มากกว่า 2,000,000 ราย หลังจากมีการตรวจพบว่า The Great Suspender มีโค้ดของมัลแวร์ฝังอยู่

Great Suspender เป็น Extension ใน Google Chrome ที่จะระงับแท็บที่ไม่ได้ใช้งานและยกเลิกการโหลดทรัพยากรเพื่อลดการใช้หน่วยความจำของเบราว์เซอร์ ซึ่งเมื่อผู้ใช้พร้อมที่จะใช้แท็บอีกครั้งผู้ใช้คลิกที่แท็บเพื่อใช้งานต่อได้

Google ได้ตรวจสอบ Extension และพบว่าผู้พัฒนา Extension ที่ได้ทำการซึ้อ โปรเจกต์ในเดือนมิถุนายน 2020 เพื่อนำไปพัฒนาต่อได้ทำการเพิ่มฟีเจอร์ที่ทำให้สามารถเรียกใช้โค้ดได้โดยผู้ใช้ไม่ได้อนุญาตจากเซิร์ฟเวอร์ระยะไกลรวมถึง Extension มีโค้ดในการติดตามผู้ใช้ทางออนไลน์และกระทำการแฝงโฆษณาไว้ ซึ่งฟีเจอร์ดังกล่าวอยู่ใน The Great Suspender เวอร์ชัน 7.1.8

ทั้งนี้สำหรับผู้ที่ต้องการใช้ Extension ที่ชื่อว่า The Great Suspender อย่างถูกต้องและเวอร์ชันดังเดิมสามารถเข้าไปดาวน์โหลดได้ที่ GitHub ซึ่งเป็นเวอร์ชันสุดท้ายของ Extension คือเวอร์ชัน 7.1.6 ได้ที่: github

ที่มา: bleepingcomputer, thehackernews

Google ได้ลบ Extension สำหรับการบล็อกโฆษณาสองรายการออกจาก Chrome Web Store หลังจากตรวจพบว่า Extension ทั้งสองมีโค้ดที่เป็นอันตรายและมีการพยายามรวบรวมข้อมูลของผู้ใช้

Extension ทั้งสองมีชื่อว่า Nano Adblocker และ Nano Defender โดย Extension ทั้งสองถูกดาวน์โหลดและติดตั้งมากกว่า 50,000 และ 200,000 ครั้งตามลำดับในขณะที่ถูกลบออกจาก Chrome Web Store ซึ่งจากการตรวจสอบโค้ดพบว่า Extension ทั้งสองมีโค้ดที่เป็นอันตรายที่ต่างจากเวอร์ชันดั้งเดิม หลังจากผู้พัฒนาได้ทำการขายให้กับทีมนักพัฒนาชาวตุรกี

Raymond Hill ผู้พัฒนา uBlock Origin ad blocker ได้ทำการวิเคราะห์ Extension ทั้งสองและพบว่า Extension ได้รับการแก้ไขโค้ดโดยเพิ่มส่วนโค้ดที่เป็นอันตราย ภายในโค้ดจะส่งข้อมูลตามการวิเคราะห์พฤติกรรมที่กำหนดและส่งไปยัง def.

นักวิจัยได้พบ Extension อันตรายที่อยู่บน Google’s Chrome Web Store มีจุดประสงค์เพื่อดักจับการกรอก ชื่อผู้ใช้งาน และรหัสผ่านบน Web Browser ของเครื่องเหยื่อ ซึ่งครอบคลุมถึงการเข้าใช้งาน Online Banking ด้วย Extension ตัวนี้มีชื่อว่า “Interface Online” ถูกค้นพบครั้งแรกเมื่อวันที่ 31 กรกฎาคม ที่ผ่านมา และ Google ได้ทำการ Remove ออกไปเรียบร้อยแล้ว หลังจากได้รับการแจ้งจาก Renato Marinho ซึ่งเป็นนักวิจัยจาก Morphus Labs และยังเป็นอาสาสมัครจาก SANS ด้วย แต่เมื่อวันที่ 16 สิงหาคม ที่ผ่านมา กลับพบว่า Extension ดังกล่าวกลับมาให้ดาวน์โหลดอีกครั้ง

“Interface Online” Extension จะทำการดักจับทุกการเชื่อมต่อที่ผ่าน Chrome เมื่อพบว่ามีการเชื่อมต่อไปยังเว็ปไซต์ใดๆที่อยู่ในรายการ จะเป็นการไปเรียกให้ JavaScript ที่ฝังไว้ทำงาน เพื่อทำการขโมย ชื่อผู้ใช้งาน และรหัสผ่านที่ได้ทำการกรอกลงไป จากนั้นจึงทำการส่งข้อมูลที่ได้ดังกล่าวไปยังเครื่อง C&C ของผู้โจมตี ที่น่ากังวลไปกว่านั้น จากการตรวจสอบล่าสุดพบว่าผลิตภัณฑ์ Anti-malware เพียง 3 จาก 57 เท่านั้นที่ระบุว่าไฟล์ JavaScript ดังกล่าวเป็นอันตราย (อ้างอิงจาก VirusTotal)

ดังนั้นเพื่อหลีกเลี่ยงจากการโดนขโมยข้อมูลผ่าน Web Browser ต่างๆ จึงไม่ควรดาวน์โหลด Extension หรือ Plug-in ที่ไม่มีความจำเป็นในการใช้งาน และไม่มีแหล่งที่มาที่ชัดเจน รวมถึงไม่ควรหลีกเลี่ยงการเข้าเว็ปไซต์ที่ไม่มี Certificate (https)

ที่มา : ArsTechnica

มัลแวร์ขโมยข้อมูลทางการเงินแพร่กระจายผ่านทางปลั๊กอินของ Google Chrome

นักวิจัยด้านความปลอดภัย Renato Marinho จาก Morphus Labs ได้เปิดเผยงานวิจัยล่าสุดเกี่ยวกับแคมเปญขโมยข้อมูลทางการเงินของมัลแวร์ที่มีแกนหลักเป็น extension หรือส่วนเสริมของโปรแกรเว็บเบราว์เซอร์ Google Chrome

ในการโจมตีนั้น ผู้โจมตีจะทำการหลอกลวงผู้ใช้ว่าทางธนาคารมีคำสั่งให้ติดตั้งปลั๊กอินหรือส่วนเสริมเพื่อเพิ่มความปลอดภัยในการใช้งาน โดยเมื่อติดตั้งปลั๊กอินดังกล่าวแล้ว ปลั๊กอินอันตรายนี้จะทำการบันทึกข้อมูลและรหัสผ่านเมื่อเหยื่อเข้าใช้งานเว็บไซต์ของธนาคาร และส่งกลับไปหาผู้โจมตี

ปลั๊กอินอันตรายรายนี้ถูกพัฒนาบนจาวาสคริปต์ซึ่งอาจช่วยในการหลีกเลี่ยงการตรวจจับได้ในบางกรณี Renato Marinho ได้ทำการตรวจสอบปลั๊กอินดังกล่าวกับซอฟต์แวร์ด้านความปลอดภัยหลายเจ้าผ่านทางบริการของ VirusTotal และพบว่ายังไม่มีซอฟต์แวร์ด้านความปลอดภัยรายใดระบุว่าปลั๊กอินปลอมนี้เป็นมัลแวร์

Recommendation: แนะนำให้ผู้ใช้งานเพิ่มความระมัดระวังเมื่อมีการใช้ internet banking และไม่มีติดตั้งโปรแกรมที่ไม่ทราบแหล่งที่มาหรือต้องสงสัย

ที่มา: isc.

พบ Backdoor ตัวใหม่ “Stantinko” ถูกติดตั้งอยู่ในเครื่องทั่วโลกเป็นจำนวนกว่าครึ่งล้านเครื่อง ซึ่งตัวมันจะทำการ Inject Malware ที่ไม่พึงประสงค์ผ่านส่วนเสริมของ Browser ในระหว่างที่กำลังใช้งานอินเตอร์เน็ตอยู่ และทำการสร้าง backdoor ไว้ในเครื่องของเหยื่อ หน้าตาของ Stantinko ที่เห็นภายนอกจะดูเป็นมิตรจึงทำให้ดูไม่น่าสงสัย วิธีการหลบหลีกไม่ให้ถูกตรวจเจอของ Stantinko คือจะซ่อน malicious code ไว้ใน Windows Registry.

พบเทคนิคใหม่ในการกระจายมัลแวร์ โดยใช้วิธี "ซื้อ" ความเป็นเจ้าของ extension บางตัวของ Chrome ที่มีช่องโหว่ เมื่อความเป็นเจ้าของเปลี่ยนมือแล้ว เจ้าของใหม่ก็จะเริ่มฝังโค้ดโฆษณาและมัลแวร์ลงไปใน extension ตัวนั้นๆ
เว็บไซต์ Ars Technica พบว่า extension ที่มีปัญหานี้มีอยู่ 2 extension คือ Add to Feedly กับ Tweet This Page ซึ่งเดิมทีเป็น extension ปกติ แต่เมื่อเจ้าของเปลี่ยนมือ พฤติกรรมของ extension พวกนี้ก็เริ่มเปลี่ยนไป โดยช่องโหว่ของการโจมตีลักษณะนี้เกิดจากเจ้าของ extension มีการอนุญาตให้สามารถอัพเดทอัตโนมัติตั่งแต่การติดตั้ง extension ในครั้งแรก ซึ่งตอนนี้กูเกิลได้ลบ extension ทั้งสองตัวออกจาก Chrome Web Store แล้ว แต่ยังไม่มีอะไรการันตีว่าปัญหาดังกล่าวจะเกิดขึ้นกับ extension ตัวอื่นๆอีกหรือไม่

ที่มา : ars technica

พบเทคนิคใหม่ในการกระจายมัลแวร์ โดยใช้วิธี "ซื้อ" ความเป็นเจ้าของ extension บางตัวของ Chrome ที่มีช่องโหว่ เมื่อความเป็นเจ้าของเปลี่ยนมือแล้ว เจ้าของใหม่ก็จะเริ่มฝังโค้ดโฆษณาและมัลแวร์ลงไปใน extension ตัวนั้นๆ
เว็บไซต์ Ars Technica พบว่า extension ที่มีปัญหานี้มีอยู่ 2 extension คือ Add to Feedly กับ Tweet This Page ซึ่งเดิมทีเป็น extension ปกติ แต่เมื่อเจ้าของเปลี่ยนมือ พฤติกรรมของ extension พวกนี้ก็เริ่มเปลี่ยนไป โดยช่องโหว่ของการโจมตีลักษณะนี้เกิดจากเจ้าของ extension มีการอนุญาตให้สามารถอัพเดทอัตโนมัติตั่งแต่การติดตั้ง extension ในครั้งแรก ซึ่งตอนนี้กูเกิลได้ลบ extension ทั้งสองตัวออกจาก Chrome Web Store แล้ว แต่ยังไม่มีอะไรการันตีว่าปัญหาดังกล่าวจะเกิดขึ้นกับ extension ตัวอื่นๆอีกหรือไม่

ที่มา : ars technica