เตือนผู้ใช้ Chrome ในองค์กร! นักวิจัยพบ 5 ส่วนขยายปลอม ที่ทำทีเป็นเครื่องมือ HR (Human Resources: ระบบงานบุคคลของบริษัท เช่น รับสมัคร พนักงาน เงินเดือน ลางาน ประเมินผลงาน)/ERP (Enterprise Resource Planning: ระบบ “หลังบ้านรวมศูนย์” ของบริษัท เช่น บัญชี สต็อก จัดซื้อ ขาย ผลิต ที่เชื่อมกันทั้งองค์กร) อย่าง Workday, NetSuite, SuccessFactors เพื่อ ขโมยคุกกี้เข้าสู่ระบบ ยึดเซสชัน และขวางการกู้คืนเหตุการณ์ ทำให้ทีมไอทีเห็นความผิดปกติแต่เข้าไปแก้ไขไม่ได้ตามปกติ
ส่วนขยายที่พบ ได้แก่ DataByCloud Access, Tool Access 11, DataByCloud 1, DataByCloud 2 (ผู้เผยแพร่ databycloud1104) และ Software Access (ผู้เผยแพร่ Software Access) โดยหลายตัวถูกลบออกจาก Chrome Web Store แล้ว แต่ยังพบ กระจายผ่านเว็บดาวน์โหลดของบุคคลที่สาม
ส่วนขยายเหล่านี้ขอสิทธิ์กว้าง (cookies/management/scripting/storage/DeclarativeNetRequest) บนโดเมนของ Workday/NetSuite/SuccessFactors เพื่อ ดูดคุกกี้ทุก 60 วินาที (เช่นส่งไปที่ api.databycloud[.]com) และ บล็อกหน้าตั้งค่าความปลอดภัย ด้วยการแก้ DOM (เช่น หน้าจัดการรหัสผ่าน ปิดบัญชี จัดการ 2FA ล็อกการใช้งาน ฯลฯ) เพื่อให้เหยื่อและแอดมิน แก้ไข/เพิกถอนการเข้าถึงได้ยาก ตัว “Software Access” ยัง ฉีดคุกกี้ที่ขโมยมา กลับเข้าเบราว์เซอร์เพื่อยึดเซสชันตรง ๆ ได้อีกด้วย
นักวิจัยระบุว่ามีการติดตั้งรวมตั้งแต่หลักร้อยถึงหลักพันครั้ง และแคมเปญนี้น่าจะเป็น ปฏิบัติการเดียวกัน (แม้ใช้คนเผยแพร่ต่างชื่อ) เพราะรูปแบบโค้ดและโครงสร้างพื้นฐานเหมือนกัน เป้าหมายคือ บัญชีองค์กร ที่ใช้แจ้งเตือนอัตโนมัติ เอกสารแชร์ และเวิร์กโฟลว์อนุมัติ ทำให้ลวงตาได้เนียนเหมือนเครื่องมือทำงานจริง. คำแนะนำเร่งด่วน ลบส่วนขยาย ที่ชื่อข้างต้นทันที, รีเซ็ตรหัสผ่าน, ตรวจสอบอุปกรณ์/ที่อยู่ IP แปลก และเปิด/ทบทวน 2FA รวมถึงตรวจสิทธิ์ SSO/เซสชันในระบบ HR/ERP ที่เกี่ยวข้อง
ในตอนนนี้ ส่วนขยาย Chrome ปลอม 5 ตัว ที่พบปลอมเป็น Workday/NetSuite/SuccessFactors เพื่อ ขโมยคุกกี้และยึดบัญชี พร้อมบล็อกหน้าตั้งค่าความปลอดภัย ซึ่งนักวิจัยแนะนำให้
- ลบทันทีหรือรีเซ็ตรหัสผ่าน
- เปิด 2FA
- ตรวจล็อกอินแปลก
- กันการติดตั้งจากเว็บดาวน์โหลดนอกสโตร์
อีกทั้งทีมไอทีควรทบทวน นโยบายส่วนขยาย/Allowlist, บังคับใช้งาน 2FA และเฝ้าระวังเซสชันผิดปกติในระบบ HR/ERP
บริการ Google Workspace สำหรับธุรกิจ ของ hostatom ช่วยคุณวางนโยบายความปลอดภัยบัญชี, บังคับ 2SV/2FA, และให้คำปรึกษาการรับมือเหตุ
ที่มา: The Hacker News
