ShadyPanda: มัลแวร์ในคราบ Extension ยอดนิยม ผู้ใช้งาน 4.3 ล้านรายเสี่ยงถูกสอดแนม

Published:

 

กลุ่มผู้ไม่หวังดีที่รู้จักกันในชื่อ "ShadyPanda" ถูกระบุว่าเป็นผู้อยู่เบื้องหลังปฏิบัติการโจมตีผ่านส่วนขยายของเว็บเบราว์เซอร์ที่กินเวลานานถึง 7 ปี และมียอดติดตั้งรวมกันไปแล้วกว่า 4.3 ล้านครั้ง โดยเฉพาะอย่างยิ่งมีส่วนขยายถึง 5 ตัวที่เคยเป็นโปรแกรมที่ถูกกฎหมายมาก่อน แต่กลับถูกแทรกแซงและฝังโค้ดอันตรายเข้าไปในช่วงกลางปี 2024 ซึ่งมีผู้ติดตั้งไปแล้วกว่า 300,000 ราย (ปัจจุบันถูกถอดออกไปแล้ว)

เปลี่ยนเครื่องมือ Productivity เป็น Spyware เต็มรูปแบบ

นักวิจัยด้านความปลอดภัยจาก Koi Security เปิดเผยรายงานที่น่าตกใจว่า ส่วนขยายเหล่านี้ในปัจจุบันได้ถูกปรับให้สามารถ "ดำเนินการโค้ดจากระยะไกลได้ทุกชั่วโมง" (Remote Code Execution) โดยการดาวน์โหลดและรัน JavaScript ที่เข้าถึงเบราว์เซอร์ได้ทั้งหมด และยัง:

  • เฝ้าดูทุกการเยี่ยมชมเว็บไซต์ ของผู้ใช้งาน
  • ขโมยประวัติการเข้าชมแบบเข้ารหัส
  • เก็บข้อมูลลายนิ้วมือของเบราว์เซอร์ (Browser Fingerprints) อย่างละเอียด

ช่องโหว่จากความไว้ใจและการรับรองจาก Google

ที่แย่ไปกว่านั้น คือหนึ่งในส่วนขยายอันตรายอย่าง Clean Master เคยได้รับการ แนะนำและตรวจสอบยืนยัน (Verified) โดย Google มาแล้วในอดีต ซึ่งการสร้างความน่าเชื่อถือนี้เองที่ทำให้กลุ่มผู้โจมตีสามารถขยายฐานผู้ใช้ และแอบปล่อยอัปเดตที่เป็นอันตรายออกมาในภายหลังได้อย่างเงียบ ๆ โดยไม่ถูกสงสัย

นอกจากนี้ ยังมีส่วนขยายอีก 5 ตัวจากผู้เผยแพร่รายเดียวกัน ที่ออกแบบมาเพื่อสอดแนม ทุก URL ที่ผู้ใช้เข้าชม, บันทึกคำค้นหาจากเครื่องมือค้นหา และ การคลิกเมาส์ โดยข้อมูลทั้งหมดจะถูกส่งไปยังเซิร์ฟเวอร์ที่ตั้งอยู่ในประเทศจีน ซึ่งส่วนขยายกลุ่มนี้มียอดติดตั้งประมาณ 4 ล้านครั้ง โดยมี WeTab เพียงตัวเดียวก็กวาดไปถึง 3 ล้านครั้ง

การแสวงหาผลประโยชน์ที่ซับซ้อนขึ้น

ในช่วงแรกของการโจมตี (ปี 2023) ที่เผยแพร่โดยนักพัฒนาชื่อ "nuggetsno15" และ "rocket Zhang" (บน Chrome Web Store และ Microsoft Edge ตามลำดับ) ส่วนขยายเหล่านี้จะปลอมตัวเป็นแอปพลิเคชันวอลเปเปอร์หรือเครื่องมือเพิ่มประสิทธิภาพในการทำงาน และมุ่งเน้นการทำ Affiliate Fraud (การฉ้อโกงค่าคอมมิชชัน) โดยการแอบฝังรหัสติดตามเมื่อผู้ใช้เยี่ยมชมเว็บไซต์อย่าง eBay, Booking.com, หรือ Amazon เพื่อสร้างรายได้ที่ไม่ชอบด้วยกฎหมายจากการซื้อของผู้ใช้

แต่ในช่วงต้นปี 2024 การโจมตีได้เปลี่ยนรูปแบบจากแค่การฉีดโค้ดที่ไม่เป็นอันตรายไปสู่การ ควบคุมเบราว์เซอร์อย่างจริงจัง ผ่านการเปลี่ยนเส้นทางการค้นหา (Search Query Redirection), การเก็บเกี่ยวคำค้นหา (Search Query Harvesting), และการขโมยคุกกี้จากโดเมนเฉพาะเจาะจง โดยทุกการค้นหาทางเว็บจะถูกเปลี่ยนเส้นทางผ่าน trovi.com ซึ่งเป็นที่รู้จักว่าเป็น Browser Hijacker

สิ่งที่ผู้ใช้ต้องทำทันที

ผู้เชี่ยวชาญระบุว่า ปฏิบัติการนี้เกิดขึ้นต่อเนื่องถึง 4 เฟส โดยอาศัยกลไก "อัปเดตอัตโนมัติ" ที่ถูกออกแบบมาเพื่อความปลอดภัย กลับกลายเป็นช่องทางในการโจมตีที่เงียบเชียบ เพราะทั้ง Chrome และ Edge จะตรวจสอบส่วนขยายแค่ตอนส่งเข้า Store แต่ไม่ได้เฝ้าดูว่าเกิดอะไรขึ้นหลังจากได้รับอนุมัติแล้ว

คำแนะนำสำหรับผู้ใช้งาน

  1. ให้ถอดถอน (Uninstall) ส่วนขยายที่น่าสงสัยเหล่านี้ทันที
  2. เปลี่ยนรหัสผ่าน (Rotate Credentials) ทั้งหมด ที่เคยเข้าสู่ระบบผ่านเบราว์เซอร์นั้น ๆ เพื่อความไม่ประมาท

ShadyPanda แสดงให้เห็นว่า ความสำเร็จของพวกเขาไม่ได้มาจากความซับซ้อนทางเทคนิคเพียงอย่างเดียว แต่มาจากการใช้ประโยชน์จากช่องโหว่เดิม ๆ ซ้ำแล้วซ้ำเล่าตลอดเจ็ดปี นั่นคือ: "Marketplaces ตรวจสอบส่วนขยายเมื่อส่งมา แต่ไม่เฝ้าดูสิ่งที่เกิดขึ้นหลังการอนุมัติ"

แหล่งที่มg The Hacker News, รายงานจาก Koi Security

#ดรกฤษฎาแก้ววัดปริง #ไทยสมาร์ทซิตี้ #SmartCity #DRKRIT #สมาร์ทซิตี้คลิก

Tags:

คุณอาจจะชอบ

ดูทั้งหมด
ใหม่กว่า เก่ากว่า
แชร์กับแอปอื่นๆ
คัดลอก ลิงค์ไปยังโพสต์