นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้เปิดเผยการระบาดของส่วนขยาย Google Chrome ที่เป็นอันตรายหลายชุด ซึ่งออกแบบมาเพื่อขโมยข้อมูลที่ละเอียดอ่อนจากผู้ใช้และธุรกิจต่างๆ การโจมตีรวมถึงส่วนขยาย ‘CL Suite by @CLMasters’ ที่มุ่งเป้าไปที่ Meta Business Suite และ Facebook Business Manager เพื่อขโมยรหัส TOTP, รายชื่อติดต่อ และข้อมูลเชิงวิเคราะห์ แคมเปญ ‘VK Styles’ ซึ่งมีผลกระทบต่อผู้ใช้ VKontakte กว่า 500,000 ราย โดยส่วนขยายปลอมแปลงเป็นเครื่องมือปรับแต่ง VK เพื่อยึดบัญชี และแคมเปญ ‘AiFrame’ ซึ่งประกอบด้วยส่วนขยาย AI ปลอม 32 รายการที่ติดตั้งโดยผู้ใช้กว่า 260,000 ราย เพื่อขโมยเนื้อหาบทความ บันทึกคำพูด และเนื้อหาอีเมล นอกจากนี้ ยังมีการค้นพบส่วนขยาย Chrome 287 รายการที่รวบรวมประวัติการเข้าชมของผู้ใช้กว่า 37.4 ล้านคน เพื่อส่งไปยังนายหน้าข้อมูล การโจมตีเหล่านี้แสดงให้เห็นถึงความเสี่ยงที่เพิ่มขึ้นจากส่วนขยายเบราว์เซอร์ที่ฉวยโอกาสในการขโมยข้อมูลลับ.
Severity: วิกฤต
System Impact:
- Google Chrome Browser
- Meta Business Suite
- Facebook Business Manager
- VKontakte accounts
- Gmail
- TOTP (Time-based One-Time Password) codes
- Contact lists
- Analytics data
- Browsing history
Technical Attack Steps:
- ผู้โจมตีเผยแพร่ส่วนขยาย Chrome ที่ดูเหมือนถูกต้องตามกฎหมายบน Chrome Web Store โดยปลอมเป็นเครื่องมือที่มีประโยชน์ (เช่น เครื่องมือจัดการธุรกิจ, เครื่องมือปรับแต่ง VK, ผู้ช่วย AI) เพื่อดึงดูดผู้ใช้
- เมื่อติดตั้ง ส่วนขยายจะร้องขอการเข้าถึงข้อมูลที่กว้างขวางบนโดเมนเป้าหมาย (เช่น meta.com, facebook.com, vk.com, mail.google.com)
- สำหรับ ‘CL Suite’ ส่วนขยายจะสกัดและส่งรหัส TOTP, รายชื่อติดต่อ Meta Business ‘People’ CSV และข้อมูลการวิเคราะห์ Business Manager ไปยังแบ็คเอนด์ของผู้โจมตี (getauth[.]pro) และช่อง Telegram ที่ควบคุมโดยผู้โจมตี
- สำหรับแคมเปญ ‘VK Styles’ ส่วนขยายจะใช้แท็ก HTML metadata ของโปรไฟล์ VK เป็นตัวแก้ไข Dead Drop เพื่อซ่อน URL เพย์โหลดขั้นถัดไป เพย์โหลดนี้ประกอบด้วย JavaScript ที่คลุมเครือซึ่งจะถูกฉีดเข้าไปในทุกหน้า VK ที่ผู้เยี่ยมชม
- JavaScript ที่ฉีดเข้าไปใน VK Styles จะจัดการบัญชีโดยอัตโนมัติ เช่น สมัครสมาชิกกลุ่มของผู้โจมตี รีเซ็ตการตั้งค่าบัญชีทุก 30 วัน และจัดการโทเค็น CSRF เพื่อหลีกเลี่ยงการป้องกันความปลอดภัย
- สำหรับแคมเปญ ‘AiFrame’ ส่วนขยายจะแสดง iframe แบบเต็มหน้าจอที่ชี้ไปยังโดเมนระยะไกล (claude.tapnetic[.]pro) ซึ่งช่วยให้ผู้โจมตีสามารถแนะนำฟังก์ชันการทำงานใหม่ๆ จากระยะไกลได้
- ส่วนขยาย ‘AiFrame’ จะเรียกใช้สคริปต์เนื้อหาเพื่อแยกเนื้อหาบทความที่อ่านได้ เริ่มการจดจำเสียงและส่งบันทึกคำพูด และอ่านเนื้อหาอีเมลที่มองเห็นได้โดยตรงจาก DOM เมื่อเหยื่อเยี่ยมชม Gmail
- ข้อมูลที่ถูกขโมย (รวมถึงประวัติการเข้าชม) จะถูกส่งไปยังโครงสร้างพื้นฐานแบ็คเอนด์ของบุคคลที่สามที่ควบคุมโดยผู้ดำเนินการส่วนขยายหรือนายหน้าข้อมูล
Recommendations:
Short Term:
- ถอนการติดตั้งส่วนขยายที่ไม่จำเป็นหรือส่วนขยายใดๆ ที่มีพฤติกรรมน่าสงสัยทันที
- ตรวจสอบสิทธิ์ของส่วนขยายที่ติดตั้งเป็นประจำ และลบส่วนขยายที่ร้องขอสิทธิ์มากเกินไปหรือไม่จำเป็น
- เปลี่ยนรหัสผ่านและรีเซ็ตการตั้งค่าความปลอดภัย (เช่น 2FA) สำหรับบัญชีที่อาจได้รับผลกระทบ โดยเฉพาะ Meta Business Suite, Facebook Business Manager, VKontakte และ Gmail
- ใช้โปรไฟล์เบราว์เซอร์แยกต่างหากสำหรับงานที่ละเอียดอ่อน เพื่อจำกัดความเสียหายที่อาจเกิดขึ้นหากส่วนขยายถูกบุกรุก
Long Term:
- ใช้หลักการติดตั้งส่วนขยายแบบ ‘น้อยที่สุด’ (minimalist approach) โดยติดตั้งเฉพาะเครื่องมือที่จำเป็นและได้รับการตรวจสอบอย่างดีจากร้านค้าอย่างเป็นทางการเท่านั้น
- นำ Extension Allowlisting มาใช้เพื่อบล็อกส่วนขยายที่เป็นอันตรายหรือไม่เป็นไปตามข้อกำหนด
- ฝึกอบรมผู้ใช้เกี่ยวกับความเสี่ยงที่เกี่ยวข้องกับส่วนขยายเบราว์เซอร์และวิธีการระบุส่วนขยายปลอมหรือไม่น่าเชื่อถือ
- เปิดใช้งานการตรวจสอบสิทธิ์แบบหลายปัจจัย (MFA) สำหรับบัญชีทั้งหมดเพื่อเพิ่มชั้นความปลอดภัย
Source: https://thehackernews.com/2026/02/malicious-chrome-extensions-caught.html
Share this content: