ด่วน! สั่งลบ 152 ส่วนขยาย Chrome ยอดฮิต แอบฝังมัลแวร์ปั๊มยอดคลิก-สูบข้อมูลผู้ใช้

 

ผมมีข่าวคราวแจ้งเตือนภัยไซเบอร์ที่คนชอบแต่งหน้าจอเบราว์เซอร์ต้องระวังให้ดีครับ ล่าสุดทีมนักวิจัยด้านความปลอดภัยได้ตรวจพบเครือข่าย ส่วนขยาย หรือ Extensions บน Google Chrome จำนวน 152 ตัว ที่ปลอมแปลงมาในรูปแบบของโปรแกรมเปลี่ยนภาพพื้นหลังเคลื่อนไหว (Live Wallpaper) ในหน้าแท็บใหม่ แต่เบื้องหลังกลับแอบแฝงโค้ดปล่อยโฆษณาและปั๊มยอดทราฟฟิกปลอม (Adware & Traffic Fraud) ซึ่งมียอดดาวน์โหลดรวมกันไปแล้วกว่า 105,000 ครั้ง!

จากการตรวจสอบพบว่า เครือข่ายนี้กระจายอยู่ภายใต้บัญชีผู้พัฒนา (Publisher) ต่างๆ บน Chrome Web Store ถึง 38 บัญชี โดยเชื่อมโยงกับระบบหลังบ้าน 3 แบรนด์หลัก ได้แก่ tabplugins[.]com, yowgames[.]com และ chromewallpaper[.]com

ตัวอย่างรายชื่อ Extensions ยอดฮิตที่ติดร่างแหในครั้งนี้ (ใครมีรีบลบด่วนครับ)

• Neymar - Football Live Wallpaper
• Satoru Gojo Manga Live Wallpaper
• Porsche 911 - Sports Car Live Wallpaper
• Hello Kitty Wallpapers HD New Tab
• Pusheen Cat Wallpapers HD New Tab
• Spider-Man Miles Morales Swing Live Wallpaper
• BMW M3 Neon Night Drive Live Wallpaper
• Death Note Anime Wallpapers HD New Tab
• Tanjiro - Demon Slayer Live Wallpaper
• Minecraft Sakura Pond Live Wallpaper

ปากว่าตาขยิบ: หน้าบ้านบอกไม่เก็บข้อมูล หลังบ้านแอบสูบเรียบ

คุณ Kush Pandya นักวิจัยความปลอดภัยจาก Socket ได้ระบุว่า บนหน้า Chrome Web Store ของส่วนขยายเหล่านี้จะระบุไว้อย่างดิบดีว่า "ไม่มีการจัดเก็บหรือนำข้อมูลผู้ใช้ไปใช้" แต่พอไปเปิดดูนโยบายความเป็นส่วนตัว (Privacy Policy) ที่ลิงก์ไว้ กลับเขียนยอมรับหน้าตาเฉยว่า มีการบันทึกทั้ง IP Address, ผู้ให้บริการอินเทอร์เน็ต (ISP), จำนวนการคลิก และข้อมูลการส่งต่อ (Referrers) แถมยังส่งต่อข้อมูลเหล่านี้ให้กับ Google AdSense, DoubleClick และพาร์ทเนอร์โฆษณาภายนอกอีกด้วย

ยัดไส้โค้ด ปลอมตัวเป็น "ทราฟฟิกธรรมชาติ" (Organic Traffic)

ความร้ายกาจอีกอย่างคือ ในไฟล์ JavaScript (js/bg.js) ของ Extensions เหล่านี้ มีการฝัง URL ลับไว้ทำงานตอนที่เรา "ติดตั้ง" และ "ถอนการติดตั้ง" ครับ

1. ตอนติดตั้ง (Install): ระบบจะแอบเปิดแท็บขึ้นมาโดยใส่พารามิเตอร์ UTM (เครื่องมือวัดผลการตลาด) เพื่อตบตาว่าผู้ใช้คลิกเข้ามาเจอเองจากผลการค้นหาแบบธรรมชาติ (Organic Search) บน Google
2. ตอนลบออก (Uninstall): มันจะสร้างลิงก์ครอบในรูปแบบ google.com/url ซึ่งเป็นแพทเทิร์นเดียวกับเวลาที่มนุษย์กดคลิกจากหน้าผลการค้นหาของ Google จริงๆ เพื่อหลอกระบบว่าเป็นการคลิกโดยมนุษย์

สรุปง่ายๆ ก็คือ: มันไม่ได้เกิดจากคนเสิร์ชหาจริงๆ แต่เป็นตัว Extension เองที่เปิดแท็บขึ้นมาแล้วประทับตราปลอมว่า "มาจาก Google Search" เพื่อสร้างยอดทราฟฟิกไปเคลมเงินค่าโฆษณาแบบโกงๆ นั่นเองครับ

นอกจากนี้ นักวิจัยยังพบว่าไฟล์ JavaScript ดังกล่าวมีความสามารถแฝงที่พร้อมจะ "สั่งลบฐานข้อมูล IndexedDB" ทั้งหมดที่มันเข้าถึงได้ทันทีเมื่อเริ่มทำงานอีกด้วย

ทางผู้เชี่ยวชาญประเมินว่า นี่คือปฏิบัติการหวังผลกำไรทางการค้าผ่านโฆษณาแฝงและการฉ้อโกงยอดทราฟฟิก (Traffic-attribution-fraud) แม้จะยังระบุตัวตนผู้อยู่เบื้องหลังไม่ได้แน่ชัด แต่หลักฐานแวดล้อมบ่งชี้ว่าอาจมีต้นตอมาจากประเทศตุรกีครับ

ใครที่ชอบโหลดโน่นนี่มาแต่ง Chrome ดูรายชื่อแล้วตรวจสอบเครื่องตัวเองด่วนเลยนะครับ ด้วยความหวังดีจากผมครับ!

#ดรกฤษฎาแก้ววัดปริง #ไทยสมาร์ทซิตี้ #SmartCity #DRKRIT #สมาร์ทซิตี้คลิก