ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ได้ติดตามสถานการณ์ภัยคุกคามทางไซเบอร์ และพบข้อมูลเกี่ยวกับแคมเปญมัลแวร์ DarkSpectre ซึ่งแฝงตัวผ่านส่วนขยายเบราว์เซอร์ที่มีลักษณะเสมือนถูกต้องตามกฎหมาย
หากผู้ใช้งานติดตั้งหรือเปิดใช้งานส่วนขยายที่ได้รับผลกระทบ อาจทำให้ผู้ไม่หวังดีสามารถฝังโค้ดอันตราย ดาวน์โหลดเพย์โหลดเพิ่มเติมจากเซิร์ฟเวอร์ควบคุม (Command and Control: C2) และเข้าควบคุมอุปกรณ์จากระยะไกล ส่งผลกระทบต่อความมั่นคงปลอดภัยของระบบสารสนเทศของหน่วยงานและองค์กรได้
รายละเอียดภัยคุกคาม
- นักวิจัยด้านความมั่นคงปลอดภัยไซเบอร์จากบริษัท Koi ตรวจพบและเปิดเผยแคมเปญมัลแวร์ DarkSpectre ซึ่งเป็นปฏิบัติการโจมตีขนาดใหญ่
- DarkSpectre ใช้ส่วนขยายเบราว์เซอร์ยอดนิยมเป็นช่องทางในการแฝงตัวและแพร่กระจาย บนเบราว์เซอร์ Google Chrome, Microsoft Edge และ Mozilla Firefox
- แคมเปญดังกล่าวถูกตรวจพบครั้งแรกระหว่างการสืบสวนแคมเปญ ShadyPanda และส่งผลกระทบต่ออุปกรณ์มากกว่า 4 ล้านเครื่องทั่วโลก
- มัลแวร์ถูกออกแบบให้เริ่มทำงานภายหลัง โดยอาศัยโค้ด JavaScript ที่ซ่อนอยู่ เพื่อดึงเพย์โหลดอันตรายจาก C2 เซิร์ฟเวอร์
ภาพรวมของภัยคุกคาม (Overview)
- ประเภทภัยคุกคาม: Malware Campaign via Malicious Browser Extensions
- เทคนิคการโจมตี: ใช้ส่วนขยายที่ดูเหมือนถูกต้องตามกฎหมาย สามารถแฝงโค้ด JavaScript เพื่อทำงานภายหลัง จากนั้น ทำการติดต่อกับ C2 เซิร์ฟเวอร์เพื่อรับคำสั่งเพิ่มเติม
- ผู้โจมตีไม่จำเป็นต้องเข้าถึงระบบโดยตรง เพียงผู้ใช้ติดตั้งส่วนขยาย ก็อาจถูกโจมตีได้
- ระบบที่ได้รับผลกระทบ: อุปกรณ์ผู้ใช้งานที่ติดตั้งส่วนขยายบน Chrome, Edge และ Firefox
ผลกระทบ หากแคมเปญ DarkSpectre ถูกโจมตีสำเร็จ อาจส่งผลดังนี้:
– อุปกรณ์ผู้ใช้งานถูกฝังมัลแวร์โดยไม่รู้ตัว
– ดาวน์โหลดและรันโค้ดอันตรายเพิ่มเติมจากระยะไกล
– ถูกควบคุมอุปกรณ์ผ่าน C2 เซิร์ฟเวอร์
– ข้อมูลส่วนบุคคลและข้อมูลองค์กรรั่วไหล
– ใช้อุปกรณ์เป็นฐานโจมตีระบบอื่นภายในเครือข่าย (Lateral Movement)
รายชื่อส่วนขยายเบราว์เซอร์ที่เกี่ยวข้อง
- Chrome Audio Capture
- ZED: Zoom Easy Downloader
- X (Twitter) Video Downloader
- Google Meet Auto Admit
- Zoom.us Always Show “Join From Web”
- Timer for Google Meet
- CVR: Chrome Video Recorder
- GoToWebinar & GoToMeeting Download Recordings
- Meet Auto Admit
- Google Meet Tweak (Emojis, Text, Cam Effects)
- Mute All on Meet
- Google Meet Push-To-Talk
- Photo Downloader for Facebook, Instagram
- Zoomcoder Extension
- Auto-join for Google Meet
- Edge Audio Capture (Edge)
- Twitter X Video Downloader (Firefox)
- New Tab – Customized Dashboard (Edge)
- “Google Translate” by charliesmithbons
แนวทางป้องกันและลดความเสี่ยง (Mitigation – Recommended)
- ตรวจสอบและถอนการติดตั้ง (Remove) ส่วนขยายเบราว์เซอร์ที่ไม่จำเป็นหรือมีความเสี่ยง
- อนุญาตให้ติดตั้งส่วนขยายเฉพาะที่ผ่านการอนุมัติจากหน่วยงาน (Extension Whitelisting)
- อัปเดตเบราว์เซอร์และระบบปฏิบัติการให้เป็นเวอร์ชันล่าสุด
- สแกนอุปกรณ์ด้วยโปรแกรมป้องกันมัลแวร์ที่เชื่อถือได้
แนวทางเฝ้าระวังเพิ่มเติม
- ตรวจสอบ Log การใช้งานเบราว์เซอร์และทราฟฟิกเครือข่ายที่ผิดปกติ
- เฝ้าระวังการติดต่อไปยัง C2 เซิร์ฟเวอร์ที่ไม่รู้จัก
- ตรวจสอบการเรียกใช้งานบริการตรวจสอบ IP ภายนอก เช่น ipinfo.io ซึ่งอาจเป็นตัวบ่งชี้พฤติกรรมของมัลแวร์
- แจ้งเตือนผู้ใช้งานให้หลีกเลี่ยงการติดตั้งส่วนขยายจากแหล่งที่ไม่น่าเชื่อถือ
คำแนะนำด้านความปลอดภัยเพิ่มเติม (Security Hardening)
- กำหนดนโยบายควบคุมการใช้งานส่วนขยายเบราว์เซอร์ในองค์กร
- แยกสิทธิ์ผู้ใช้งานทั่วไปออกจากสิทธิ์ผู้ดูแลระบบ
- สำรองข้อมูลสำคัญอย่างสม่ำเสมอ
- จัดอบรมให้ความรู้ผู้ใช้งานเกี่ยวกับภัยคุกคามจาก Browser Extension
แหล่งอ้างอิง (References)
https://www.techspot.com/news/110779-darkspectre-quietly-infected-millions-through-seemingly-legit-browser.html
