Chrome Flare | SOSECURE MORE THAN SECURE

ส่วนขยาย Chrome ตกเป็นเป้าหมายสำหรับการโจมตีแบบ Browser hijacker !!

By admin News

“Malvertising ” ใช้ประโยชน์จาก Chrome เพื่อโจมตีแบบ Browser hijacker

พบการใช้โฆษณาบนโลกออนไลน์ เพื่อแพร่กระจายมัลแวร์ หรือที่เรียกว่า “Malvertising “
ที่ใช้ประโยชน์จากส่วนขยายของ Google Chrome เพื่อทำการโจมตีแบบ Browser hijacker และแทรกลิงก์ลงบนหน้าเว็บเพจ เนื่องจากส่วนขยายเหล่านี้มีตัวเลือกในการปรับแต่งสี รวมไปถึงเครื่องคอมพิวเตอร์ของเป้าหมายโดยไม่มีโค้ดที่เป็นอันตราย เพื่อหลีกเลี่ยงการถูกตรวจจับ ซึ่งนักวิจัยเรียกว่า “Dormant Colours” โดยในส่วนขยายเบราว์เซอร์มีประมาณ 30 แบบที่แตกต่างกันที่มีให้บริการทั้งบน Chrome และ Edge
ซึ่งมีการติดตั้งไปแล้วมากกว่าหนึ่งล้านครั้ง

30 addons that were present on web stores until recently
โปรแกรมเสริม 30 รายการที่มีอยู่ใน Web Store

การติดไวรัสนั้นเริ่มมาจากการโฆษณาหรือเปลี่ยนเส้นทาง เมื่อไปที่หน้าเว็บที่มีวิดีโอหรือดาวน์โหลด เมื่อผู้ใช้พยายามดาวน์โหลดโปรแกรมหรือดูวิดีโอ จะถูกเปลี่ยนเส้นทางไปยังเว็บไซต์อื่นที่ระบุว่าต้องติดตั้ง 
ส่วนขยายเพื่อดำเนินการต่อ เมื่อผู้ใช้คลิกที่ปุ่ม “ตกลง” หรือ “ดำเนินการต่อ” จะได้รับแจ้งเตือนให้ติดตั้ง 
ส่วนขยายการเปลี่ยนสี 

เมื่อติดตั้งส่วนขยายเหล่านี้แล้ว จะถูกเปลี่ยนเส้นทางไปยังหน้าต่าง ๆ ที่ดาวน์โหลดสคริปต์ 
ที่เป็นอันตราย โดยจะเริ่มจากการสร้างองค์ประกอบบนหน้าเว็บแบบไดนามิก ในขณะที่พยายามเรียก JavaScript API ซึ่งองค์ประกอบ HTML ทั้งสองอย่าง คือ Colorstylecsse และ Colorrgbstylesre  
โดยจะมีเนื้อหา (InnerText) รายการแรกเป็นรายการสตริงที่คั่นด้วย ‘#’ และ regexes และรายการสุดท้าย คือ รายการโดเมนจำนวนมากที่คั่นด้วยเครื่องหมายจุลภาค จากนั้นจะทำการกำหนด URL ใหม่ให้กับ 
ตำแหน่งต่าง ๆ เพื่อเปลี่ยนเส้นทางไปยังโฆษณา 

เมื่อทำการ Hijacking การ Search แล้ว ส่วนขยายจะเปลี่ยนเส้นทางคำค้นหาเพื่อแสดงผลลัพธ์ 
จากเว็บไซต์ที่เชื่อมโยงกับผู้พัฒนาส่วนขยาย ซึ่งจะช่วยสร้างรายได้จากการแสดงโฆษณาและการขายข้อมูล 
การค้นหา 

นักวิจัยเปิดเผยว่า การใช้เทคนิคการดาวน์โหลดแบบ Sideloading ที่เป็นอันตรายนั้น 
เป็นตัวดำเนินการของ “Dormant Colours” และอาจมีความเป็นไปได้ที่จะเปลี่ยนเส้นทางของเป้าหมายไปยังหน้าฟิชชิ่งเพื่อขโมยข้อมูลรับรองสำหรับ Microsoft 365, Google Workspace, เว็บไซต์ธนาคาร หรือแพลตฟอร์มโซเชียลมีเดีย โดยในส่วนขยายและเว็บไซต์ดังกล่าวถูกลบออกและออฟไลน์ไปแล้ว  
แต่ยังพบว่าการดำเนินการดังกล่าวยังได้รับการต่ออายุอย่างต่อเนื่องด้วยชื่อและโดเมนใหม่ 

คำแนะนำ 

  • ควรศึกษาให้ดีก่อนที่จะติดตั้งโปรแกรมต่าง ๆ และเมื่อเข้าใช้งานบราวเซอร์ควรอ่านและดูข้อมูลให้ดีว่าเป็นเว็บไซต์จริงหรือไม่  
  • ควรระวังในการโหลดโปรแกรมฟรีต่าง ๆ เพราะในโปรแกรมเหล่านั้นอาจจะมีโปรแกรมที่อันตรายติดมาด้วยโดยที่เราไม่รู้ตัว  
  • ควรอัปเดตเว็บบราวเซอร์ให้เป็นเวอร์ชันปัจจุบันเสมอเพื่อป้องกันการเกิดช่องโหว่ให้น้อยที่สุด 

Ref : https://www.bleepingcomputer.com/news/security/chrome-extensions-with-1-million-installs-hijack-targets-browsers/ 

 

Share