ลบด่วน 18 ส่วนขยายสายลับ ดักข้อมูลใน Chrome และ Edge
Malwarebytes Labs เปิดเผยว่ามีการสอดแนมครั้งใหญ่โดยใช้ส่วนขยายเบราว์เซอร์ที่เป็นอันตรายจำนวน 18 รายการใน Chrome และ Edge webstores อย่างเป็นทางการ ส่วนขยายเหล่านี้ติดตั้งไปแล้วกว่า 2 ล้านครั้ง รวบรวม URL และ ID เฉพาะของผู้ใช้ แล้วส่งข้อมูลเหล่านี้ไปยังเซิร์ฟเวอร์ควบคุม เพื่อสั่งการเปลี่ยนเส้นทางที่เป็นอันตราย ซึ่งอาจนำไปสู่การติดตั้งมัลแวร์เพิ่มเติมได้
แม้ว่าส่วนขยายส่วนใหญ่จะถูกลบออกไปจาก webstores แล้ว ยังมีผู้ใช้จำนวนไม่น้อยยังคงติดตั้งส่วนขยายเหล่านี้อยู่ ให้ตรวจสอบและทำการลบออกเพื่อความปลอดภัยในการใช้งาน (นอกจากเว็บเบราว์เซอร์อย่าง Chrome และ Edge แล้วเว็บเบราว์เซอร์อื่น ๆ ที่ใช้พื้นฐานของ Chromium ก็ควรระวังเช่นกันไม่ว่าจะเป็น Brave, Opera, Vivaldi และอื่น ๆ)
พฤติกรรมอันตรายที่ถูกเปิดโปง
ส่วนขยายที่ดูปลอดภัยและได้รับรีวิวดีใน webstores อย่างเป็นทางการ กลับแฝงพฤติกรรมสอดแนม ดังนี้:
- ดักจับ URL ทุกครั้งที่ผู้ใช้เข้าเว็บใหม่
- ส่งข้อมูลไปยังเซิร์ฟเวอร์ พร้อมรหัสเฉพาะเพื่อติดตามพฤติกรรม
- รอรับคำสั่งรีไดเรกต์จากเซิร์ฟเวอร์ ซึ่งอาจนำไปสู่เว็บไซต์ปลอม เช่น หน้าดาวน์โหลด Zoom ที่แฝงมัลแวร์
กรณีนี้สะท้อนถึงการที่ “ส่วนขยายหลับ” (sleeper agents) ถูกเปิดใช้งานในเวลาที่เหมาะสม โดยบางตัวแสดงพฤติกรรมที่ดูไม่มีพิษภัยเป็นเวลาหลายเดือน ก่อนจะเริ่มทำงานในลักษณะโจมตี
รายชื่อ 18 ส่วนขยายต้องสงสัย พร้อม Extension ID
| ลำดับ | ชื่อส่วนขยาย | เบราว์เซอร์ | Extension ID |
|---|---|---|---|
| 1 | Emoji keyboard online | Chrome | kgmeffmlnkfnjpgmdndccklfigfhajen |
| 2 | Free Weather Forecast (1) | Chrome | dpdibkjjgbaadnnjhkmmnenkmbnhpobj |
| 3 | Free Weather Forecast (2) | Chrome | gaiceihehajjahakcglkhmdbbdclbnlf |
| 4 | Unlock Discord | Chrome | mlgbkfnjdmaoldgagamcnommbbnhfnhf |
| 5 | Dark Theme | Chrome | eckokfcjbjbgjifpcbdmengnabecdakp |
| 6 | Volume Max | Chrome | mgbhdehiapbjamfgekfpebmhmnmcmemg |
| 7 | Unblock TikTok | Chrome | cbajickflblmpjodnjoldpiicfmecmif |
| 8 | Unlock YouTube VPN | Chrome | pdbfcnhlobhoahcamoefbfodpmklgmjm |
| 9 | Geco colorpick | Chrome | eokjikchkppnkdipbiggnmlkahcdkikp |
| 10 | Weather | Chrome | ihbiedpeaicgipncdnnkikeehnjiddck |
| 11 | Unlock TikTok | Edge | jjdajogomggcjifnjgkpghcijgkbcjdi |
| 12 | Volume Booster | Edge | mmcnmppeeghenglmidpmjkaiamcacmgm |
| 13 | Web Sound Equalizer | Edge | ojdkklpgpacpicaobnhankbalkkgaafp |
| 14 | Header Value | Edge | lodeighbngipjjedfelnboplhgediclp |
| 15 | Flash Player | Edge | hkjagicdaogfgdifaklcgajmgefjllmd |
| 16 | Youtube Unblocked | Edge | gflkbgebojohihfnnplhbdakoipdbpdm |
| 17 | SearchGPT | Edge | kpilmncnoafddjpnbhepaiilgkdcieaf |
| 18 | Unlock Discord | Edge | caibdnkmpnjhjdfnomfhijhmebigcelo |
โดเมนที่เกี่ยวข้องกับคำสั่งรีไดเรกต์:
click.videocontrolls[.]comc.undiscord[.]comadmitab[.]comadmiitad[.]com- ฯลฯ
แนวทางป้องกันและแก้ไข
- ลบส่วนขยายที่เข้าข่ายทั้งหมด
- เคลียร์ข้อมูลการใช้งานเบราว์เซอร์
- เปลี่ยนรหัสผ่าน และเปิดใช้งาน 2FA
- รีเซ็ตการตั้งค่าเบราว์เซอร์
- อัปเดตส่วนขยายที่ยังใช้ และสแกนเครื่องด้วยโปรแกรมเช่น Malwarebytes
🗣️ บทเรียนสำคัญ: แม้แต่ส่วนขยายในร้านค้าอย่างเป็นทางการก็อาจไม่ปลอดภัย 100% ผู้ใช้ควรระวังการอัปเดตที่ขอสิทธิ์เพิ่มเติม และเลือกใช้ส่วนขยายจากผู้พัฒนาที่เชื่อถือได้
ข้อมูลและรายงานฉบับเต็ม Malwarebytes