Ads From Web Browsing | SOSECURE MORE THAN SECURE

ส่วนขยายของเบราว์เซอร์ที่เป็นอันตรายโจมตีไปยังผู้ใช้งาน

By admin News

ผู้ใช้งานมากกว่า 1.31 ล้านคน ติดตั้งส่วนขยาย เป็นอันตรายของเบราว์เซอร์

ทางบริษัท Kaspersky ได้ออกมาอธิบายว่า “พบผู้ใช้งานมากกว่า 1.31 ล้านคน พยายามติดตั้งส่วนขยาย (Extension) ที่เป็นอันตรายของเว็บเบราว์เซอร์ ตั้งแต่มกราคม 2563 ถึงมิถุนายน 2565 พบผู้ใช้งานกว่า 4.3 ล้านคนถูกโจมตีโดย Adware ที่ซ่อนอยู่ในส่วนขยายเบราว์เซอร์ คิดเป็น 70% ของผู้ใช้งานทั้งหมดได้รับผลกระทบจาก Add-ons ที่เป็นอันตราย”  

ผู้ใช้งานกว่า 1,311,557 รายอยู่ในช่วงครึ่งแรกของปี 2022 ตามข้อมูลของ Kaspersky ได้อธิบายว่าจำนวนผู้ใช้งานดังกล่าวพุ่งสูงในปี 2020 ที่ 3,660,236 ราย ตามด้วย 1,823,263 รายในปี 2564 

ภัยคุกคามดังกล่าวคือกลุ่ม Adware ที่เรียกว่า WebSearch ซึ่งปลอมแปลงเป็นโปรแกรมดู PDF และ ยูทิลิตี้อื่น ๆ โดดเด่นในการแก้ไขหน้าเริ่มต้นของเบราว์เซอร์ โดยประกอบไปด้วย Search engine  
โดยมีความสามารถในการวิเคราะห์สิ่งที่ผู้ใช้งานค้นหา และ เปลี่ยนเส้นทางของผู้ใช้งานไปยังลิงค์ของบุคคล 
ที่สาม เช่น AliExpress  

นอกจากนี้ ส่วนขยายสามารถเปลี่ยน Default Search engine ของเบราว์เซอร์เป็น search.myway[.]com อีกทั้งยังสามารถบันทึกการค้นหาของผู้ใช้งาน รวบรวมและวิเคราะห์สิ่งที่ผู้ใช้งานค้นหาได้ เว็บไซต์ที่เกี่ยวข้องส่วนใหญ่จะได้รับการโปรโมท และ เมื่อผู้ใช้งานทำการคลิกจะทำให้ผู้ไม่ประสงค์ดีได้รับเงินผ่านลิงก์ 

ส่วนขยายชุดที่สองเกี่ยวข้องกับภัยคุกคามที่ชื่อ AddScript ซึ่งปิดบังการทำงานที่เป็นอันตรายภายใต้โปรแกรมดาวน์โหลดวิดีโอ แม้ว่าโปรแกรมจะสามารถดาวน์โหลดวิดิโอได้อย่างที่โฆษณาไว้ โปรแกรมยังได้รับการออกแบบมาเพื่อติดต่อกับเซิร์ฟเวอร์จากระยะไกล เพื่อเรียกใช้โค้ด JavaScript ที่เป็นอันตราย 

นอกจากนี้ยังพบมัลแวร์ขโมยข้อมูล เช่น FB Stealer ซึ่งมีเป้าหมายเพื่อขโมยข้อมูลการเข้าสู่ระบบ Facebook และ คุกกี้เซสชันของผู้ใช้งานที่เข้าสู่ระบบ โดยมัลแวร์จะมุ่งเป้าไปยังผู้ใช้งานที่มองหาโปรแกรมCracked บน search engines เป็นหลัก โดย FB Stealer ส่งผ่านโทรจันที่เรียกว่า NullMixer  
ซึ่งจะแพร่กระจายผ่านโปรแกรม Cracked เช่น SolarWinds Broadband Engineers Edition  
เมื่อมัลแวร์ถูกเพิ่มลงในเบราว์เซอร์แล้ว จะเลียนแบบเป็นส่วนขยาย Google Translate ของ Chrome 

การโจมตีเหล่านี้มีแรงจูงใจทางการเงินเช่นกัน หลังจากผู้ไม่ประสงค์ดีได้รับคุกกี้การยืนยันตัวตนแล้ว  
จะลงชื่อเข้าใช้บัญชี Facebook ของผู้ใช้งานที่ตกเป็นเหยื่อ และ ทำการเปลี่ยนรหัสผ่าน เพื่อยึดบัญชี Facebook ซึ่งผู้ไม่ประสงค์ดีสามารถใช้บัญชีที่ยึดมาได้ เพื่อติดต่อเพื่อนของเหยื่อ และ ทำการขอเงิน 

ทาง Zimperiumm เปิดเผยรายละเอียดว่า มัลแวร์ตระกูล ABCsoup ที่ปลอมแปลงเป็นส่วนขยายของ Google Translate เป็นส่วนหนึ่งของ Adware ที่กำหนดเป้าการโจมตีไปยังผู้ใช้งานเบราว์เซอร์ต่าง ๆ  
เช่น Google Chrome, Opera และ Mozilla Firefox  

คำแนะนำ 

  1. ควรติดตั้งโปรแกรมจากต้นทางที่น่าเชื่อถือ เช่น เว็บของผู้พัฒนาโปรแกรม 
  1. ตรวจสอบส่วนขยาย (Extensions) ก่อนที่จะทำการติดตั้ง 
  1. ตรวจเช็ค และ ถอนการติดตั้งโปรแกรมเสริมที่คุณไม่ได้ใช้แล้วหรือคุณไม่รู้จักเป็นระยะ ๆ 
  1. หลีกเลี่ยงการคลิกลิงก์แปลกปลอม หรือ น่าสงสัย เพื่อหยุดการสนับสนุนทางการเงินให้กับ 
    ผู้ไม่ประสงค์ดี 
  1. ควรลบคุกกี้บนเบราว์เซอร์ 
  1. ทำการเปิดใช้งาน 2FA ของ Facebook  
  1. ติดตั้ง Endpoint และ ทำการ Full-Scan อย่างน้อย 1 ครั้งต่อสัปดาห์ 

Ref : https://thehackernews.com/2022/08/malicious-browser-extensions-targeted.html 

 

Share