33/69 (IT) ประจำวันจันทร์ที่ 19 มกราคม 2569
บริษัทความปลอดภัยไซเบอร์ Socket ตรวจพบและแจ้งเตือนเกี่ยวกับส่วนขยาย (Extensions) อันตรายบน Google Chrome จำนวน 5 รายการ ซึ่งมียอดติดตั้งรวมกว่า 2,300 ครั้ง โดยส่วนขยายเหล่านี้แฝงตัวในรูปแบบเครื่องมือเพิ่มประสิทธิภาพการทำงานและเครื่องมือด้านความปลอดภัยสำหรับระบบบริหารจัดการทรัพยากรบุคคล (HR) และระบบวางแผนทรัพยากรองค์กร (ERP) ที่นิยมใช้ เช่น Workday, NetSuite และ SAP SuccessFactors โดยมีเป้าหมายเพื่อขโมยข้อมูลสำหรับยืนยันตัวตนและยึดครองบัญชีองค์กร ซึ่งอาจนำไปสู่การโจมตีที่รุนแรง เช่น การขโมยข้อมูลหรือการแพร่กระจายมัลแวร์เรียกค่าไถ่
พฤติกรรมที่ตรวจพบแบ่งเป็น 3 รูปแบบหลัก ได้แก่
1. การขโมยคุกกี้ (Cookie Exfiltration) โดยส่งโทเคนเซสชันไปยังเซิร์ฟเวอร์ควบคุม (C2) ทุก ๆ 60 วินาที เพื่อให้ผู้โจมตียังคงเข้าถึงระบบได้ต่อเนื่อง
2. การบล็อกหน้าผู้ดูแลระบบ (Admin Page Blocking) ใช้เทคนิค DOM Manipulation ปิดกั้นการเข้าถึงหน้าตั้งค่าความปลอดภัย เช่น การตั้งค่า 2FA การจัดการบัญชี และบันทึกการตรวจสอบ (Audit Logs) เพื่อขัดขวางการตรวจจับและตอบสนองต่อเหตุการณ์
3. การฝังคุกกี้ (Cookie Injection) โดยรับคุกกี้จากเซิร์ฟเวอร์ผู้โจมตีมาฝังในเบราว์เซอร์เหยื่อ เพื่อสวมรอยเข้าใช้งาน (Session Hijacking) โดยไม่ต้องกรอกรหัสผ่านหรือรหัส OTP
ส่วนขยายอันตรายถูกเผยแพร่ภายใต้ชื่อนักพัฒนา databycloud1104 และ Software Access ตัวอย่างชื่อส่วนขยาย ได้แก่ Data By Cloud 2 และ Tool Access 11 แม้จะถูกถอดออกจาก Chrome Web Store แล้วหลังได้รับการแจ้งเตือน แต่ผู้ใช้งานหรือองค์กรที่เคยติดตั้งยังมีความเสี่ยงที่ข้อมูลจะรั่วไหล จึงควรแจ้งผู้ดูแลระบบความปลอดภัยเพื่อตรวจสอบเหตุการณ์ (Incident Response) และดำเนินการเปลี่ยนรหัสผ่านของแพลตฟอร์มที่เกี่ยวข้องทันที
