แคมเปญโจมตีทางไซเบอร์ที่ประสานงานกันได้ใช้ส่วนขยาย Google Chrome ปลอมแปลงเป็นเครื่องมือ AI ยอดนิยม เช่น ChatGPT, Claude, Gemini และ Grok โดยส่วนขยายปลอมเหล่านี้สอดแนมผู้ใช้กว่า 260,000 รายผ่าน iFrames ที่ถูกฝังและควบคุมจากระยะไกล ทำให้สามารถขโมยข้อมูลจากเบราว์เซอร์และ Gmail ได้ ผู้โจมตีใช้กลยุทธ์ ‘extension spraying’ เพื่ออัปโหลดส่วนขยายโคลนใหม่เมื่อถูกลบออกจาก Chrome Web Store
Severity: วิกฤต
System Impact:
- Google Chrome Browser
- Chrome Web Store
- บัญชี Gmail
Technical Attack Steps:
- ปลอมแปลงส่วนขยายเป็นเครื่องมือ AI ยอดนิยม (เช่น ChatGPT, Claude, Gemini, Grok) และอัปโหลดไปยัง Chrome Web Store โดยบางส่วนถูกทำเครื่องหมายเป็น ‘Featured’ เพื่อเพิ่มความน่าเชื่อถือ
- เมื่อผู้ใช้ติดตั้ง ส่วนขยายจะโหลด iframe แบบเต็มหน้าจอจากโดเมนที่ผู้โจมตีควบคุม (เช่น tapnetic[.]pro หรือ onlineapp[.]pro)
- ผู้โจมตีสามารถเปลี่ยนฟังก์ชันการทำงานของ iframe จากระยะไกลได้โดยไม่ต้องอัปเดตส่วนขยาย
- ส่วนขยายจะสกัดเนื้อหาที่อ่านได้จากแท็บที่เปิดอยู่ทั้งหมด รวมถึงหน้าที่มีการยืนยันตัวตน และดักจับเสียงอินพุตโดยใช้ Web Speech API
- ส่วนขยายที่มุ่งเป้าไปที่ Gmail จะฉีดสคริปต์เข้าไปใน mail.google[.]com เพื่อตรวจสอบการเปลี่ยนแปลงหน้าเว็บและรวบรวมเนื้อหาอีเมลที่มองเห็นได้ (เธรด, ฉบับร่าง, การตอบกลับ) และส่งไปยังเซิร์ฟเวอร์ของผู้โจมตี
- มีการติดตามการติดตั้งและถอนการติดตั้งโดยใช้ระบบ telemetry ที่ซ่อนอยู่
- เมื่อส่วนขยายถูกลบออก ผู้โจมตีจะอัปโหลดเวอร์ชันโคลนใหม่ด้วยชื่อและ ID ใหม่ทันที (เทคนิค ‘extension spraying’)
Recommendations:
Short Term:
- ตรวจสอบส่วนขยาย Chrome ที่เกี่ยวข้องกับ AI ทั้งหมดในสภาพแวดล้อมของคุณอย่างละเอียด
- เฝ้าระวังการฉีด iframe ที่น่าสงสัยและการเข้าถึง Gmail DOM ที่ผิดปกติ
- ตรวจสอบทราฟิกขาออกไปยังโดเมน tapnetic[.]pro และโดเมนที่เกี่ยวข้อง
Long Term:
- ให้ความสำคัญกับการตรวจสอบและติดตามส่วนขยายขณะรันไทม์ (runtime monitoring) มากกว่าการตรวจสอบแบบคงที่
- องค์กรควรทบทวนและบังคับใช้นโยบายการจัดการส่วนขยายที่เข้มงวด โดยเฉพาะส่วนขยายที่เกี่ยวข้องกับ AI
Source: https://cybersecuritynews.com/chrome-ai-extensions-attacking-users/
Share this content: