ส่วนขยาย Chrome AI ปลอม กว่า 300,000 ผู้ใช้ ถูกใช้ขโมยข้อมูลรับรองและอีเมล

ส่วนขยาย Chrome ที่เป็นอันตรายกว่า 30 รายการ ซึ่งมีผู้ติดตั้งมากกว่า 300,000 คน ได้แอบอ้างว่าเป็นผู้ช่วย AI เพื่อขโมยข้อมูลรับรอง (credentials), เนื้อหาอีเมล และข้อมูลการท่องเว็บ โดยเป็นส่วนหนึ่งของแคมเปญที่ชื่อว่า ‘AiFrame’ ซึ่งสื่อสารกับโครงสร้างพื้นฐานภายใต้โดเมน tapnetic[.]pro ส่วนขยายเหล่านี้ไม่เพียงแต่ดึงข้อมูลทั่วไปจากการเยี่ยมชมเว็บไซต์ แต่ยังเจาะจงเป้าหมายข้อมูล Gmail และสามารถใช้ Web Speech API เพื่อบันทึกเสียงสนทนาของผู้ใช้ได้ด้วย

Severity: สูง

System Impact:

• ส่วนขยาย Google Chrome
• เว็บเบราว์เซอร์ Google Chrome
• Gmail
• บัญชีผู้ใช้งานออนไลน์

Technical Attack Steps:

1. แฮกเกอร์เผยแพร่ส่วนขยาย Chrome ที่เป็นอันตรายกว่า 30 รายการใน Chrome Web Store โดยแอบอ้างว่าเป็นผู้ช่วย AI ที่ถูกต้อง (เช่น Gemini AI Sidebar, AI Sidebar, ChatGPT Translate, AI Assistant, AI GPT, Google Gemini)
2. ผู้ใช้กว่า 300,000 คนติดตั้งส่วนขยายเหล่านี้เนื่องจากเข้าใจผิดว่าเป็นเครื่องมือ AI ที่มีประโยชน์
3. ส่วนขยายไม่ประมวลผล AI ในเครื่อง แต่จะโหลดเนื้อหาจากโดเมนระยะไกล (tapnetic[.]pro) ผ่าน iframe ทำให้ผู้โจมตีสามารถเปลี่ยนแปลงตรรกะการทำงานได้โดยไม่ต้องอัปเดตใหม่
4. ส่วนขยายดึงเนื้อหาหน้าเว็บจากเว็บไซต์ที่ผู้ใช้เข้าชม รวมถึงหน้าการยืนยันตัวตนที่ละเอียดอ่อน โดยใช้ไลบรารี Mozilla’s Readability
5. ส่วนขยายย่อย 15 รายการเจาะจงเป้าหมายข้อมูล Gmail โดยเฉพาะ โดยใช้สคริปต์เนื้อหาที่ทำงานที่ ‘document_start’ บน ‘mail.google.com’ เพื่อแทรกองค์ประกอบ UI
6. สคริปต์จะอ่านเนื้อหาอีเมลที่มองเห็นได้โดยตรงจาก DOM และดึงข้อความเธรดอีเมล รวมถึงฉบับร่างอย่างต่อเนื่อง
7. เมื่อมีการเรียกใช้ฟังก์ชันที่เกี่ยวข้องกับ AI (เช่น การตอบกลับหรือสรุปที่ช่วยโดย AI) เนื้อหาอีเมลที่ดึงมาจะถูกส่งไปยังโครงสร้างพื้นฐานแบ็กเอนด์ของบุคคลที่สามที่ควบคุมโดยผู้ดำเนินการส่วนขยาย
8. ส่วนขยายยังมีกลไกการรู้จำเสียงและการสร้างข้อความถอดเสียงที่ถูกสั่งจากระยะไกลโดยใช้ ‘Web Speech API’ และส่งผลลัพธ์กลับไปยังผู้ดำเนินการ ซึ่งอาจรวมถึงการขโมยบทสนทนาจากสภาพแวดล้อมของผู้ใช้งาน

Recommendations:

Short Term:

• ตรวจสอบรายการ Indicators of Compromise (IoC) ของ LayerX เพื่อระบุส่วนขยายที่เป็นอันตราย
• ถอนการติดตั้งส่วนขยาย AI ที่น่าสงสัยหรือไม่ได้ใช้งานทั้งหมดออกจาก Google Chrome ทันที
• รีเซ็ตรหัสผ่านสำหรับบัญชีทั้งหมด โดยเฉพาะบัญชีที่ใช้งานในขณะที่ส่วนขยายเหล่านี้มีการทำงาน
• เปิดใช้งานการยืนยันตัวตนแบบสองชั้น (2FA) สำหรับทุกบัญชีที่มีความสำคัญ

Long Term:

• ระมัดระวังเป็นพิเศษเมื่อติดตั้งส่วนขยายของเบราว์เซอร์ โดยเฉพาะอย่างยิ่งส่วนขยายที่อ้างว่ามีฟังก์ชัน AI
• ตรวจสอบความถูกต้องและชื่อผู้เผยแพร่ของส่วนขยายก่อนการติดตั้ง
• ตรวจสอบสิทธิ์ที่ส่วนขยายร้องขออย่างละเอียด และไม่อนุญาตสิทธิ์ที่ไม่จำเป็น
• ตรวจสอบส่วนขยายที่ติดตั้งเป็นประจำและลบส่วนขยายที่ไม่ได้ใช้หรือน่าสงสัยออก
• อัปเดตเบราว์เซอร์และระบบปฏิบัติการให้เป็นเวอร์ชันล่าสุดเสมอ
• ใช้ซอฟต์แวร์รักษาความปลอดภัยที่มีชื่อเสียงเพื่อปกป้องอุปกรณ์

Source: https://www.bleepingcomputer.com/news/security/fake-ai-chrome-extensions-with-300k-users-steal-credentials-emails/