ส่วนขยาย Chrome ที่เป็นอันตราย 5 รายการปลอมเป็น Workday และ NetSuite เพื่อยึดบัญชี

นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ค้นพบส่วนขยาย Google Chrome ที่เป็นอันตราย 5 รายการ ซึ่งแอบอ้างเป็นแพลตฟอร์มทรัพยากรบุคคล (HR) และการวางแผนทรัพยากรองค์กร (ERP) เช่น Workday, NetSuite และ SuccessFactors ส่วนขยายเหล่านี้ทำงานร่วมกันเพื่อขโมยโทเค็นการยืนยันตัวตน ขัดขวางความสามารถในการตอบสนองต่อเหตุการณ์ และเปิดใช้งานการเข้ายึดบัญชีโดยสมบูรณ์ผ่านการจี้เซสชัน แม้บางส่วนจะถูกลบออกจาก Chrome Web Store แล้ว แต่ยังคงพบในแหล่งดาวน์โหลดบุคคลที่สาม

Severity: วิกฤต

System Impact:

• Google Chrome Web Browser
• แพลตฟอร์ม Human Resources (HR) และ Enterprise Resource Planning (ERP): Workday, NetSuite, SuccessFactors
• โทเค็นการยืนยันตัวตน (Authentication Tokens) และคุกกี้ (Cookies)
• หน้าการดูแลระบบด้านความปลอดภัยของ Workday

Technical Attack Steps:

1. **การปลอมแปลง**: ส่วนขยายแอบอ้างเป็นเครื่องมือเพิ่มประสิทธิภาพการทำงานสำหรับแพลตฟอร์ม HR/ERP (Workday, NetSuite, SuccessFactors) เพื่อหลอกให้ผู้ใช้ติดตั้ง
2. **การขอสิทธิ์**: เมื่อติดตั้งแล้ว ส่วนขยายจะขอสิทธิ์ในวงกว้าง เช่น การเข้าถึงคุกกี้, การจัดการ, การสคริปต์, ที่เก็บข้อมูล และ declarativeNetRequest สำหรับโดเมนเป้าหมาย
3. **การขโมยคุกกี้**: ส่วนขยายจะรวบรวมคุกกี้การยืนยันตัวตนสำหรับโดเมนที่ระบุและส่งไปยังเซิร์ฟเวอร์ควบคุม (Command-and-Control – C2) ระยะไกล (เช่น api.databycloud[.]com, api.software-access[.]com) ทุก 60 วินาที
4. **การปิดกั้นการควบคุมความปลอดภัย**: ส่วนขยายจะจัดการ Document Object Model (DOM) เพื่อบล็อกหน้าการดูแลระบบที่สำคัญภายใน Workday (เช่น การจัดการการยืนยันตัวตน, การกำหนดค่าพร็อกซีความปลอดภัย, การจัดการช่วง IP, การควบคุมเซสชัน, การเปลี่ยนรหัสผ่าน, การปิดใช้งานบัญชี, การจัดการอุปกรณ์ 2FA, การเข้าถึงบันทึกการตรวจสอบความปลอดภัย) เพื่อขัดขวางการตอบสนองต่อเหตุการณ์
5. **การป้องกันการตรวจสอบ**: ส่วนขยายรวมคุณสมบัติเพื่อป้องกันการตรวจสอบโค้ดโดยใช้เครื่องมือสำหรับนักพัฒนาเว็บเบราว์เซอร์ (เช่น DisableDevtool library) และป้องกันผู้ใช้ตรวจสอบการป้อนข้อมูลประจำตัว
6. **การจี้เซสชัน**: ส่วนขยายที่ซับซ้อนที่สุด (Software Access) สามารถรับคุกกี้ที่ถูกขโมยจากเซิร์ฟเวอร์ C2 และฉีดเข้าไปในเบราว์เซอร์เพื่อทำการจี้เซสชันโดยตรง (Session Hijacking)
7. **การตรวจจับเครื่องมือรักษาความปลอดภัย**: ส่วนขยายมีรายการของส่วนขยาย Chrome ที่เกี่ยวข้องกับความปลอดภัย 23 รายการที่ถูกตรวจสอบและแจ้งเตือนไปยังผู้โจมตี เพื่อหลีกเลี่ยงการตรวจจับหรือการแทรกแซง

Recommendations:

Short Term:

• ลบส่วนขยายที่ระบุทั้งหมดออกจากเบราว์เซอร์ Google Chrome ทันที
• ทำการรีเซ็ตรหัสผ่านสำหรับบัญชี Workday, NetSuite, SuccessFactors และบัญชีองค์กรอื่น ๆ ที่เกี่ยวข้องทั้งหมด
• ตรวจสอบบันทึกการเข้าถึงบัญชี (Audit Logs) สำหรับกิจกรรมที่ไม่ได้รับอนุญาต หรือการเข้าถึงจากที่อยู่ IP หรืออุปกรณ์ที่ไม่คุ้นเคย

Long Term:

• บังคับใช้นโยบายความปลอดภัยของเบราว์เซอร์ที่เข้มงวดในองค์กร รวมถึงการจำกัดหรืออนุญาตเฉพาะส่วนขยายที่ได้รับการอนุมัติจากองค์กรเท่านั้น
• ให้ความรู้แก่ผู้ใช้และพนักงานเกี่ยวกับการโจมตีแบบฟิชชิ่งและการปลอมแปลง รวมถึงอันตรายของส่วนขยายเบราว์เซอร์ที่ไม่น่าเชื่อถือ
• ใช้การยืนยันตัวตนแบบหลายปัจจัย (Multi-Factor Authentication – MFA) สำหรับแพลตฟอร์ม HR/ERP และบัญชีองค์กรทั้งหมด
• ตรวจสอบกิจกรรมเครือข่ายที่น่าสงสัยอย่างต่อเนื่อง และใช้โซลูชัน Endpoint Detection and Response (EDR) เพื่อตรวจจับและตอบสนองต่อภัยคุกคาม
• พิจารณาใช้เครื่องมือหรือแพลตฟอร์มที่สามารถตรวจสอบและจัดการส่วนขยายเบราว์เซอร์ในวงกว้างทั่วทั้งองค์กร

Source: https://thehackernews.com/2026/01/five-malicious-chrome-extensions.html