Koi Security ค้นพบแคมเปญมัลแวร์ยาวนานชื่อ “ShadyPanda” ที่ปลอมตัวเป็นส่วนขยาย Chrome และ Edge ดูเหมือนเป็นเครื่องมือทั่วไป แต่ภายหลังกลับ “อัปเดตตัวเองเป็นมัลแวร์เต็มรูปแบบ” จนมียอดติดตั้งรวมกว่า 4.3 ล้านครั้ง
การทำงานของ ShadyPanda - 4 เฟสสำคัญของการโจมตี
เฟส 1 (2018–2023) - ปลอมเป็นเครื่องมือธรรมดา
ส่วนขยายชุดแรกถูกส่งขึ้นสโตร์ตั้งแต่ปี 2018 แต่เริ่มมีพฤติกรรมต้องสงสัยในปี 2023 เช่น ปลอมเป็นส่วนขยายแนว “วอลเปเปอร์” หรือ “เครื่องมือ Productivity”
สิ่งที่ทำในเฟสนี้ 👇
- ฝังโค้ด Affiliate Fraud
- แอบใส่ tracking code ของ eBay, Booking.com, Amazon เพื่อรับค่าคอมมิชชันจากการซื้อของของผู้ใช้
เฟส 2 (ต้นปี 2024) - เริ่มไฮแจ็คการค้นหา
ส่วนขยายชื่อ Infinity V+ เริ่มแสดงพฤติกรรมโจมตีหนักขึ้น เช่น
- เปลี่ยนเส้นทางการค้นหาไป trovi[.]com
- ดึงคุกกี้ผู้ใช้ส่งไปยัง dergoodting[.]com
- ส่งคำค้นหาไปยัง subdomain ของ gotocdn
เฟส 3 (2024) - ปล่อย Backdoor ซ่อนในอัปเดต
ส่วนขยายจำนวน 5 รายการที่เคยสะสมชื่อเสียงดีมาตั้งแต่ปี 2018–2019 กลับถูกอัปเดตใส่ Backdoor เพิ่มเข้ามา ซึ่งสามารถ…
- รันคำสั่ง Remote Code Execution (RCE)
- เช็คเซิร์ฟเวอร์ api.extensionplay[.]com ทุกชั่วโมง เพื่อรับโค้ดใหม่มารันในเบราว์เซอร์
- ส่งข้อมูลผู้ใช้กลับไปยัง api.cleanmasters.store (เข้ารหัส AES)
โดย Koi Security ได้บอกอย่างชัดเจนว่า “นี่ไม่ใช่มัลแวร์ที่ทำงานแบบตายตัว แต่มันคือ backdoor ที่รอรับคำสั่งใหม่ได้ตลอด” และหนึ่งในส่วนขยายที่ถูกตรวจพบคือ Clean Master บน Chrome Web Store ซึ่งตอนนั้นมียอดดาวน์โหลดกว่า 200,000 ครั้ง
เฟส 4 (กำลังเกิดขึ้นตอนนี้) - Edge Extensions ยังไม่ถูกลบ
ยังพบส่วนขยาย 5 ตัวบน Microsoft Edge Add-ons ที่เผยแพร่โดย “Starlab Technology” ตั้งแต่ปี 2023 และตอนนี้มียอดติดตั้งรวมกว่า 4 ล้านครั้งแล้ว และมีข้อมูลที่ถูกขโมยดังนี้
- ประวัติการท่องเว็บ
- คำค้นหาและการพิมพ์ (keystrokes)
- ตำแหน่งการคลิกเมาส์
- ข้อมูล Fingerprint ผู้ใช้
- Local/Session Storage & Cookies
ข้อมูลทั้งหมดได้ถูกส่งกลับไปยัง 17 โดเมนในประเทศจีน โดยนักวิจัยได้เตือนว่า ส่วนขยายกลุ่มนี้มี Permission มากพอจะอัปเดตตัวเองให้เป็น Backdoor แบบเฟสก่อนหน้าได้ทุกเมื่อ แม้ตอนนี้จะยังไม่พบสัญญาณว่าถูกใช้งานจริงก็ตาม
คำเตือนถึงผู้ใช้
- ลบส่วนขยายที่อยู่ในลิสต์ของ ShadyPanda ทันที
- เปลี่ยนรหัสผ่านทุกบัญชีออนไลน์ที่เคยใช้ผ่านเบราว์เซอร์นั้น
- ตรวจสอบกิจกรรมผิดปกติในบัญชีของตนเอง
สำหรับลูกค้าที่ใช้บริการกับ hostatom หากต้องการให้ทางเราช่วยตั้งค่า และดูแลระบบ Google Workspace เรามีทีมงานที่คอยให้บริการและช่วยเหลือ เพื่อให้องค์กรของคุณสามารถใช้งาน Google Workspace ได้อย่างปลอดภัย และมั่นใจ
ที่มา : BleepingComputer