นักวิจัยจาก DomainTools ได้ค้นพบแคมเปญที่มีการเผยแพร่ส่วนขยายปลอมบน Chrome กว่า 100 รายการใน Chrome Web Store โดยส่วนขยายเหล่านี้ได้แอบอ้างเป็นเครื่องมือที่น่าเชื่อถือต่าง ๆ เช่น Fortinet VPN, YouTube Tools หรือแม้แต่ผู้ช่วย AI และบริการเกี่ยวกับคริปโตเคอร์เรนซี แต่แท้จริงแล้วแคมเปญนี้มีจุดประสงค์เพื่อขโมยข้อมูลของผู้ใช้ ไม่ว่าจะเป็นคุกกี้ของเบราว์เซอร์ โทเคนเซสชัน หรือการดึงข้อมูลสำคัญกลับไปยังเซิร์ฟเวอร์ของผู้ไม่หวังดี
แม้ว่าส่วนขยายเหล่านี้จะมีฟีเจอร์ที่ใช้งานได้จริงบางอย่าง เช่น เปิด VPN ได้ หรือใช้แทนผู้ช่วย AI ได้ แต่เบื้องหลังกลับฝังโค้ดที่ใช้แอบดึงข้อมูล โดยใช้คำสั่ง JavaScript ของ Chrome อย่าง chrome.cookies.getAll({}) เพื่อดึงคุกกี้ของผู้ใช้งาน ก่อนจะบีบอัดและเข้ารหัส แล้วส่งกลับไปยังเซิร์ฟเวอร์ที่ควบคุมโดยแฮกเกอร์ ตัวอย่างหนึ่งของส่วนขยายเหล่านี้คือ “fortivpn” ที่ดูเหมือนเครื่องมือของ Fortinet แต่แท้จริงแล้วเป็นมัลแวร์
เพื่อเพิ่มความน่าเชื่อถือและหลอกล่อผู้ใช้ให้ติดตั้งส่วนขยายเหล่านี้ นักพัฒนามัลแวร์ยังได้สร้างเว็บไซต์ปลอมมากกว่า 100 แห่งที่มีลักษณะคล้ายแบรนด์ดัง เช่น forti-vpn[.]com, youtube-vision[.]com และ earthvpn[.]top โดยมีปุ่ม Add to Chrome ซึ่งจะลิงก์ไปยังส่วนขยายปลอมใน Chrome Web Store โดยการทำเช่นนี้ทำให้ผู้ใช้งานทั่วไปตกเป็นเหยื่อได้ง่าย เพราะเข้าใจว่าเป็นบริการจริงจากผู้ให้บริการชื่อดัง
ทาง DomainTools ได้เตือนว่าการโจมตีนี้อาจเป็นฝีมือของกลุ่มอาชญากรไซเบอร์ที่มีความซับซ้อน และอาจถูกใช้เป็นส่วนหนึ่งของแคมเปญใหญ่ เช่น การโจมตีแบบ supply chain หรือการขโมยข้อมูลของบริษัท จึงเป็นเรื่องสำคัญที่ผู้ใช้ต้องระวัง โดยควรตรวจสอบที่มาของส่วนขยาย อ่านรีวิว ตรวจสอบสิทธิ์ที่ร้องขอก่อนติดตั้ง และใช้โปรแกรมป้องกันมัลแวร์เพื่อเสริมความปลอดภัย
นอกจากความปลอดภัยบน Chrome แล้ว หากคุณต้องการเพิ่มความปลอดภัยให้เว็บไซต์ของตนเอง เพื่อเพิ่มความน่าเชื่อถือ และป้องกันเว็บไซต์จากภัยคุกคามต่าง ๆ อยู่เสมอ สามารถติดต่อทีมงาน hostatom ได้ตลอด 24 ชั่วโมง
ที่มา : BleepingComputer
