เว็บเบราว์เซอร์ในยุคปัจจุบันนั้นมักจะมีส่วนเสริม หรือ Extension ให้เลือกสรรใช้งานได้มากมาย ซึ่งหลายตัวก็อำนวยความสะดวกให้กับผู้ใช้งานได้อย่างมาก หลายตัวอาจจะมีช่องโหว่ที่อันตราย และหลายตัวก็เป็นของปลอมทำเลียนแบบที่มีการแทรกมัลแวร์ไว้โดยแฮกเกอร์เพื่อหลอกให้ผู้ใช้งานติดตั้ง

จากรายงานโดยเว็บไซต์ The Hacker News ได้กล่าวถึงการตรวจพบส่วนเสริมปลอมบนเว็บเบราว์เซอร์ Chrome ที่มีการสอดแทรกมัลแวร์ไว้เป็นจำนวนมาก โดยมีจำนวนมากกว่า 100 ตัวด้วยกัน ซึ่งผลงานการตรวจพบดังกล่าวนั้นเป็นผลงานของทีมวิจัย DomainTools Intelligence หรือ DTI ซึ่งเป็นหน่วยงานย่อยของ DomainTools บริษัทผู้เชี่ยวชาญด้านการพัฒนาเครื่องมือตรวจสอบภัยไซเบอร์ โดยทางทีมวิจัยได้กล่าวว่า ส่วนเสริมส่วนมากนั้นจะแพร่กระจายผ่านทางเว็บไซต์ปลอมที่ปลอมให้คล้ายกับเครื่องมือดังต่าง ๆ ที่ต้องใช้งานบ่อย ๆ หลากรูปแบบ อย่างเช่น เครื่องมือ VPN, แอปธนาคาร, เครื่องมือซื้อขายคริปโตเคอร์เรนซี ไม่ว่าจะเป็น DeepSeek, Manus, DeBank, FortiVPN และ Site Stat เป็นต้น ซึ่งถ้าเหยื่อเข้าสู่เว็บไซต์แล้ว เมื่อเหยื่อกดปุ่มดาวน์โหลด ตัวเว็บไซต์จะพาไปยังแอปสโตร์อย่างเป็นทางการของ Google อย่าง Chrome Web Store (CWS) ทำให้เหยื่อนั้นตายใจหลงเชื่อ และดาวน์โหลดลงมาติดตั้งในท้ายที่สุด

ทางทีมวิจัยยังเปิดเผยว่า ถึงแม้ส่วนเสริมหลายตัวจะสามารถทำงานได้จริงตามที่กล่าวอ้าง แต่กลับมีการแฝงเครื่องมือเพื่อโจรกรรมข้อมูลสำคัญต่าง ๆ ของเหยื่อ ไม่ว่าจะเป็น รหัสผ่าน, ไฟล์ Cookies, การเข้าขโมยการใช้งาน Session, การนำพาเหยื่อไปยังเว็บไซต์ที่ไม่น่าไว้วางใจอื่น ๆ, การยิงโฆษณาที่ไม่เป็นที่ต้องการผ่านเบราว์เซอร์ของเหยื่อ, เปลี่ยนแปลง Traffic การสื่อสารของเครื่องเหยื่อ ไปจนถึงการทำ Phishing ด้วยวิธี DOM Manipulation การปรับเปลี่ยนในส่วนของโมเดลวัตถุ หรือ Document Object Model เพื่อสร้างหน้าเพจหลอกลวงให้เหยื่อใช้งาน เป็นต้น

นอกจากนั้น ทางทีมวิจัยยังได้เปิดเผยถึงการที่ทางแฮกเกอร์เลือกใช้การแทรกซึมในรูปแบบ Extension เนื่องมาจากการที่ตัว Extension นั้นเอื้ออำนวยให้แฮกเกอร์สามารถทำการดัดแปลงไฟล์ .json ซึ่งจะนำไปสู่การได้รับสิทธิ์การใช้งานตัวระบบในระดับสูงของตัวมัลแวร์บนเบราว์เซอร์ ช่วยให้แฮกเกอร์ที่ทำงานผ่านมัลแวร์นั้นสามารถเข้าถึงเว็บไซต์ทั้งหมดที่เหยื่อเข้าใช้งาน, สามารถยิงโค้ดต่าง ๆ ผ่านตัวเบราว์เซอร์ รวมไปถึงกิจกรรมอันตรายอื่น ๆ ที่กล่าวถึงไว้ข้างต้นได้อย่างง่ายดาย

ภาพจาก: https://dti.domaintools.com/deceptive-browser-extensions-google-store-ai-slop/

ทางทีมวิจัยได้รายงานว่า ส่วนเสริมปลอมหลายตัวนั้นปัจจุบันได้ถูกทาง Google ซึ่งเป็นเจ้าของแอปสโตร์ได้ทำการลบไปเป็นจำนวนมาแล้ว แต่ก็ยังไม่ได้มีความปลอดภัยอย่างหมดจรดเนื่องจากยังมีตกค้างอีกจำนวนมาก อีกทั้งจากการตรวจสอบล่าสุดโดยทางทีมวิจัยจาก Layer X ซึ่งเป็นบริษัทผู้พัฒนาส่วนเสริมเว็บเบราว์เซอร์สำหรับเสริมสร้างความปลอดภัยในระดับองค์กร ได้ออกมาเปิดเผยว่า มีการตรวจพบส่วนเสริมปลอมเพิ่มขึ้นอีกมากกว่า 40 ตัวบนแอปสโตร์ดังกล่าว โดยทั้งหมดที่ถูกตรวจพบนั้นเมื่อวิเคราะห์แล้วพบว่ามีส่วนเกี่ยวพันกับแคมเปญการแพร่กระจายมัลแวร์ที่มากถึง 3 แคมเปญ ซึ่งส่วนเสริมจำนวนมากเหล่านี้ที่ปลอมตัวเป็นเครื่องมือชื่อดังต่าง ๆ ยังไม่ถูกลบออกจากแอปสโตร์แต่อย่างนั้น

ไม่เพียงเท่านั้น ทางทีมวิจัยกลุ่มหลังยังได้กล่าวอีกว่า เพียงแค่ Google ลบส่วนเสริมปลอมต่าง ๆ ออกจากแอปสโตร์ไม่ได้หมายความว่าตัวส่วนเสริมจะถูกลบออกจากเครื่องอย่างอัตโนมัติ ซึ่งการจะลบออกจากเครื่องนั้น ผู้ใช้งานจะต้องเป็นผู้ที่จัดการลบด้วยตนเองเท่านั้น นอกจากนั้น ทางทีมวิจัยได้ทำการลงรายชื่อส่วนเสริมอันตรายทั้ง 40 ตัวไว้ด้วย โดยผู้อ่านรายใดมีความสนใจ สามารถศึกษาเพิ่มเติมได้จากลิงก์อ้างอิงด้านล่าง

ที่มา : layerxsecurity.com , thehackernews.com