ส่วนขยาย Chrome ที่เป็นอันตรายกว่า 30 รายการ ซึ่งมีผู้ติดตั้งมากกว่า 300,000 คน ได้แอบอ้างว่าเป็นผู้ช่วย AI เพื่อขโมยข้อมูลรับรอง (credentials), เนื้อหาอีเมล และข้อมูลการท่องเว็บ โดยเป็นส่วนหนึ่งของแคมเปญที่ชื่อว่า ‘AiFrame’ ซึ่งสื่อสารกับโครงสร้างพื้นฐานภายใต้โดเมน tapnetic[.]pro ส่วนขยายเหล่านี้ไม่เพียงแต่ดึงข้อมูลทั่วไปจากการเยี่ยมชมเว็บไซต์ แต่ยังเจาะจงเป้าหมายข้อมูล Gmail และสามารถใช้ Web Speech API เพื่อบันทึกเสียงสนทนาของผู้ใช้ได้ด้วย
Severity: สูง
System Impact:
- ส่วนขยาย Google Chrome
- เว็บเบราว์เซอร์ Google Chrome
- Gmail
- บัญชีผู้ใช้งานออนไลน์
Technical Attack Steps:
- แฮกเกอร์เผยแพร่ส่วนขยาย Chrome ที่เป็นอันตรายกว่า 30 รายการใน Chrome Web Store โดยแอบอ้างว่าเป็นผู้ช่วย AI ที่ถูกต้อง (เช่น Gemini AI Sidebar, AI Sidebar, ChatGPT Translate, AI Assistant, AI GPT, Google Gemini)
- ผู้ใช้กว่า 300,000 คนติดตั้งส่วนขยายเหล่านี้เนื่องจากเข้าใจผิดว่าเป็นเครื่องมือ AI ที่มีประโยชน์
- ส่วนขยายไม่ประมวลผล AI ในเครื่อง แต่จะโหลดเนื้อหาจากโดเมนระยะไกล (tapnetic[.]pro) ผ่าน iframe ทำให้ผู้โจมตีสามารถเปลี่ยนแปลงตรรกะการทำงานได้โดยไม่ต้องอัปเดตใหม่
- ส่วนขยายดึงเนื้อหาหน้าเว็บจากเว็บไซต์ที่ผู้ใช้เข้าชม รวมถึงหน้าการยืนยันตัวตนที่ละเอียดอ่อน โดยใช้ไลบรารี Mozilla’s Readability
- ส่วนขยายย่อย 15 รายการเจาะจงเป้าหมายข้อมูล Gmail โดยเฉพาะ โดยใช้สคริปต์เนื้อหาที่ทำงานที่ ‘document_start’ บน ‘mail.google.com’ เพื่อแทรกองค์ประกอบ UI
- สคริปต์จะอ่านเนื้อหาอีเมลที่มองเห็นได้โดยตรงจาก DOM และดึงข้อความเธรดอีเมล รวมถึงฉบับร่างอย่างต่อเนื่อง
- เมื่อมีการเรียกใช้ฟังก์ชันที่เกี่ยวข้องกับ AI (เช่น การตอบกลับหรือสรุปที่ช่วยโดย AI) เนื้อหาอีเมลที่ดึงมาจะถูกส่งไปยังโครงสร้างพื้นฐานแบ็กเอนด์ของบุคคลที่สามที่ควบคุมโดยผู้ดำเนินการส่วนขยาย
- ส่วนขยายยังมีกลไกการรู้จำเสียงและการสร้างข้อความถอดเสียงที่ถูกสั่งจากระยะไกลโดยใช้ ‘Web Speech API’ และส่งผลลัพธ์กลับไปยังผู้ดำเนินการ ซึ่งอาจรวมถึงการขโมยบทสนทนาจากสภาพแวดล้อมของผู้ใช้งาน
Recommendations:
Short Term:
- ตรวจสอบรายการ Indicators of Compromise (IoC) ของ LayerX เพื่อระบุส่วนขยายที่เป็นอันตราย
- ถอนการติดตั้งส่วนขยาย AI ที่น่าสงสัยหรือไม่ได้ใช้งานทั้งหมดออกจาก Google Chrome ทันที
- รีเซ็ตรหัสผ่านสำหรับบัญชีทั้งหมด โดยเฉพาะบัญชีที่ใช้งานในขณะที่ส่วนขยายเหล่านี้มีการทำงาน
- เปิดใช้งานการยืนยันตัวตนแบบสองชั้น (2FA) สำหรับทุกบัญชีที่มีความสำคัญ
Long Term:
- ระมัดระวังเป็นพิเศษเมื่อติดตั้งส่วนขยายของเบราว์เซอร์ โดยเฉพาะอย่างยิ่งส่วนขยายที่อ้างว่ามีฟังก์ชัน AI
- ตรวจสอบความถูกต้องและชื่อผู้เผยแพร่ของส่วนขยายก่อนการติดตั้ง
- ตรวจสอบสิทธิ์ที่ส่วนขยายร้องขออย่างละเอียด และไม่อนุญาตสิทธิ์ที่ไม่จำเป็น
- ตรวจสอบส่วนขยายที่ติดตั้งเป็นประจำและลบส่วนขยายที่ไม่ได้ใช้หรือน่าสงสัยออก
- อัปเดตเบราว์เซอร์และระบบปฏิบัติการให้เป็นเวอร์ชันล่าสุดเสมอ
- ใช้ซอฟต์แวร์รักษาความปลอดภัยที่มีชื่อเสียงเพื่อปกป้องอุปกรณ์
Share this content: