เตือนภัย! ส่วนเสริม Chrome-Edge ฝังมัลแวร์ ผู้ใช้ 2.3 ล้านคน เสี่ยงเบราว์เซอร์ถูกแฮก

ผู้ใช้งานเบราว์เซอร์ Chrome และ Edge อาจกำลังตกเป็นเหยื่อของแคมเปญโจมตีไซเบอร์ครั้งใหญ่ โดยที่ไม่รู้ตัว เมื่อทีมนักวิจัยจาก Koi Extension และ Cybernews ได้เปิดโปงปฏิบัติการลับที่มีชื่อว่า “Operation RedDirection” ซึ่งอาศัยช่องทางการอัปเดตส่วนเสริม (Extensions) เบราว์เซอร์ยอดนิยมในการแอบส่งมัลแวร์เข้ามาในเครื่องของผู้ใช้ โดยไม่แสดงอาการผิดปกติใดๆ

หลอกให้ใช้แล้วเล่นงาน

ส่วนเสริมที่ถูกใช้ในแคมเปญนี้ส่วนใหญ่เป็นเครื่องมือพื้นฐานที่ผู้ใช้ทั่วไปมักติดตั้ง เช่น เครื่องมือเปลี่ยนธีม โปรแกรมควบคุมเสียง ตัวปรับความเร็ววิดีโอ ตัวช่วย VPN รวมไปถึงแผงอีโมจิ หรือธีมมืด โดยจงใจออกแบบให้เป็นเครื่องมือในการเล่นงานผู้ใช้อยู่แล้ว แต่ในช่วงแรกจะ “หลอกให้ใช้งานก่อน” โดยที่ไม่มีพฤติกรรมอันตรายใดๆ ทั้งสิ้น และเมื่อได้รับรีวิวในเชิงบวกจากผู้ใช้จำนวนมาก หลังจากผ่านไประยะหนึ่ง นักพัฒนาหรือแฮกเกอร์ที่แฝงตัวอยู่ได้ปล่อยอัปเดตใหม่ซึ่งแฝงโค้ดอันตรายไว้ โดยไม่แจ้งเตือนผู้ใช้

เมื่อส่วนเสริมเวอร์ชันใหม่ถูกติดตั้ง มัลแวร์จะเริ่มทำงานโดยลอบดักจับ URL ของทุกเว็บไซต์ที่ผู้ใช้เปิด พร้อมแนบรหัสเฉพาะเพื่อระบุตัวเครื่อง ก่อนส่งกลับไปยังเซิร์ฟเวอร์ของแฮ็กเกอร์ ข้อมูลเหล่านี้ไม่เพียงใช้วิเคราะห์พฤติกรรมผู้ใช้งาน แต่ยังเปิดโอกาสให้ผู้โจมตีควบคุมเบราว์เซอร์จากระยะไกล เช่น สั่งเปลี่ยนเส้นทางไปยังหน้าเว็บปลอม (phishing) หรือเว็บไซต์อัปเดตปลอมที่ฝังมัลแวร์ไว้ เช่น Zoom หรือ Discord เวอร์ชันหลอก ทำให้ผู้ใช้เผลอกดดาวน์โหลดไวรัสลงเครื่องโดยไม่รู้ตัว

ขณะนี้มีการยืนยันว่าผู้ใช้งานกว่า 2.3 ล้านคนได้รับผลกระทบ โดยในจำนวนนั้นประมาณ 1.7 ล้านคนใช้ Chrome และอีกกว่า 600,000 คนใช้ Edge ปัญหานี้ยิ่งทวีความน่ากังวล เมื่อพบว่าหลายส่วนเสริมที่เป็นอันตรายยังคงอยู่ใน Chrome Web Store และ Microsoft Edge Add-ons Store โดยไม่มีการลบออกแต่อย่างใด

รายชื่อส่วนเสริมที่มีรายงานว่าแฝงมัลแวร์ มีดังนี้

บน Google Chrome:

• Emoji Keyboard
• Free Weather Forecast
• Video Speed Controller
• Unlock Discord
• Dark Theme
• Volume Max
• Color Picker – Geco

บน Microsoft Edge:

• Unlock TikTok
• Web Sound Equalizer
• YouTube Unblocked
• Header Value
• Flash Player Emulator
• SearchGPT

รวมถึงส่วนเสริมอื่นๆ ที่มีชื่อคล้ายกันหรือเปลี่ยนชื่อภายหลังเพื่อลวงผู้ใช้ให้ติดตั้งใหม่ซ้ำอีกครั้ง

ปัญหานี้สะท้อนให้เห็นถึงความเสี่ยงที่เกิดจากฟีเจอร์อัปเดตอัตโนมัติของเบราว์เซอร์ ซึ่งแม้จะช่วยให้ผู้ใช้ได้รับฟีเจอร์ใหม่อยู่เสมอ แต่ก็เปิดช่องให้แฮ็กเกอร์อัปเดตโค้ดอันตรายโดยที่เจ้าของเครื่องไม่ทันตั้งตัว และยิ่งอันตรายกว่านั้นเมื่อส่วนเสริมที่เคย “ปลอดภัย” กลับกลายเป็นช่องโหว่ในภายหลังโดยไม่มีสัญญาณเตือนใดๆ

หลังได้รับรายงานจากนักวิจัยความปลอดภัย ทั้ง Google และไมโครซอฟท์ ได้ลบหรือจำกัดส่วนเสริมบางตัวออกจาก Chrome Web Store และ Edge Add-ons Store

ลบส่วนเสริมออกโดยด่วน

คำแนะนำในเบื้องต้นสำหรับผู้ใช้งานคือ ควรตรวจสอบรายชื่อส่วนเสริมในเบราว์เซอร์ของตน และถอนการติดตั้งทันทีหากมีชื่อส่วนเสริมที่ตรงหรือคล้ายกับในรายการข้างต้น รวมถึงล้างข้อมูลเบราว์เซอร์ (Cookies, Cache, History) เปลี่ยนรหัสผ่านบัญชีสำคัญทั้งหมด และเปิดใช้งานระบบยืนยันตัวตนแบบสองขั้นตอน (2FA) เพื่อป้องกันความเสียหายเพิ่มเติม นอกจากนี้ควรสแกนระบบด้วยโปรแกรมแอนตี้ไวรัสที่เชื่อถือได้ และหลีกเลี่ยงการติดตั้งส่วนเสริมที่ไม่จำเป็น หรือขอสิทธิ์เข้าถึงข้อมูลเว็บไซต์ทุกหน้าโดยไม่มีเหตุผล

ที่มา