ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ได้ติดตามสถานการณ์ภัยคุกคามทางไซเบอร์ และพบประกาศแจ้งเตือนด้านความปลอดภัยเกี่ยวกับส่วนขยายเบราว์เซอร์อันตราย ซึ่งถูกใช้เป็นเครื่องมือโจมตีรูปแบบใหม่ โดยผู้ไม่หวังดีอาศัยความน่าเชื่อถือของ Google Chrome แฝงตัวเป็นเครื่องมือช่วยงานด้านธุรกิจและปัญญาประดิษฐ์ เพื่อขโมยข้อมูลบัญชี โซเชียลมีเดีย อีเมล และข้อมูลยืนยันตัวตนแบบหลายปัจจัย พฤติกรรมดังกล่าวสะท้อนถึงแนวโน้มการพัฒนาเครื่องมือโจมตีที่มีความซับซ้อนมากขึ้น ส่งผลให้เกิดความเสี่ยงต่อข้อมูลสำคัญขององค์กร ความน่าเชื่อถือ และความต่อเนื่องทางธุรกิจอย่างมีนัยสำคัญ
1. รายละเอียดภัยคุกคามจากส่วนขยายเบราว์เซอร์
1.1 ส่วนขยาย CL Suite แฝงขโมยข้อมูลบัญชีธุรกิจและข้อมูลยืนยันตัวตน
ตรวจพบส่วนขยายชื่อ CL Suite by @CLMasters บน Google Chrome แอบอ้างเป็นเครื่องมือช่วยจัดการข้อมูลจาก Meta Business Suite และ Facebook Business Manager โดยมีพฤติกรรมลักลอบส่งออกข้อมูลรหัสลับสำหรับสร้างรหัสยืนยันตัวตน, รายชื่อผู้ใช้งาน, สิทธิ์การเข้าถึง, บัญชีโฆษณา, ทรัพย์สินที่เชื่อมโยง และข้อมูลด้านการชำระเงิน ไปยังโครงสร้างพื้นฐานของผู้โจมตี แม้จะระบุในนโยบายความเป็นส่วนตัวว่าข้อมูลถูกเก็บไว้ภายในเครื่อง
1.2 แคมเปญ VK Styles ใช้ส่วนขยายปลอมเพื่อเข้าควบคุมบัญชีผู้ใช้
บริษัท Koi Security ตรวจพบแคมเปญ “VK Styles” ปลอมตัวเป็นส่วนขยายปรับแต่งธีมของ VKontakte (VK) ส่งผลให้บัญชีผู้ใช้จำนวนมากถูกควบคุมโดยไม่ได้รับอนุญาต มัลแวร์สามารถบังคับสมัครสมาชิกกลุ่มของผู้โจมตี รีเซ็ตค่าบัญชีเป็นระยะ โดยใช้เทคนิค Cross-Site Request Forgery (CSRF) เพื่อหลบเลี่ยงการป้องกัน และฝังโค้ด JavaScript ลงในหน้าเว็บไซต์ VK เพื่อควบคุมการทำงานอย่างต่อเนื่อง
1.3 AiFrame ส่วนขยาย AI ปลอมแฝงขโมยข้อมูลผู้ใช้
บริษัท LayerX ตรวจพบส่วนขยายเบราว์เซอร์กว่า 32 รายการ แฝงตัวเป็นผู้ช่วยปัญญาประดิษฐ์ (AI) เช่น เครื่องมือสรุปบทความ เขียนข้อความ หรือช่วยตอบอีเมล โดยบางรายการสามารถเข้าถึงข้อมูลใน Gmail คัดลอกเนื้อหาอีเมลจากหน้าเว็บเมล และส่งข้อมูลออกไปยังเซิร์ฟเวอร์ภายนอกผ่านหน้าต่างเชื่อมต่อที่ควบคุมจากระยะไกล โดยไม่ต้องผ่านการอัปเดตจาก Chrome Web Store
1.4 พบ 287 ส่วนขยายเบราว์เซอร์ ส่งประวัติการท่องเว็บให้ Data Broker
รายงานจาก Q Continuum พบส่วนขยายเบราว์เซอร์จำนวน 287 รายการ มีผู้ติดตั้งรวมกว่า 37.4 ล้านครั้ง ทำการรวบรวมและส่งประวัติการท่องเว็บไปยังผู้รวบรวมข้อมูล เช่น Similarweb และ Alexa Internet โดยผู้ใช้ส่วนใหญ่อาจไม่ทราบถึงพฤติกรรมดังกล่าว
2. ภาพรวมภัยคุกคามจากส่วนขยายเบราว์เซอร์
ภัยคุกคามลักษณะนี้มีจุดร่วมคือการใช้ “ส่วนขยายเบราว์เซอร์” เป็นช่องทางเข้าถึงข้อมูลภายใต้บริบทของผู้ใช้ที่อยู่ในสถานะล็อกอิน ทำให้สามารถอ่านและดึงข้อมูลจากหน้าเว็บได้โดยตรง รวมถึงติดต่อสื่อสารกับเซิร์ฟเวอร์ควบคุมจากระยะไกลเพื่อรับคำสั่งหรือปรับเปลี่ยนความสามารถเพิ่มเติม โดยไม่ต้องผ่านกระบวนการตรวจสอบซ้ำจากร้านค้าแอปพลิเคชัน แนวโน้มดังกล่าวสะท้อนถึงการพัฒนาเครื่องมือโจมตีที่มีความซับซ้อนและยากต่อการตรวจจับมากขึ้น โดยมุ่งเน้นการขโมยข้อมูลสำคัญ เช่น ข้อมูลบัญชีธุรกิจ รายชื่อผู้ใช้งาน สิทธิ์การเข้าถึง ข้อมูลการยืนยันตัวตนแบบสองขั้นตอน และเนื้อหาอีเมล ซึ่งอาจนำไปสู่การยึดบัญชี การฉ้อโกง หรือการโจมตีต่อเนื่องในลำดับถัดไป
3. ผลิตภัณฑ์ที่ได้รับผลกระทบ: Google Chrome (รวมถึงเบราว์เซอร์ที่ใช้ Chromium เป็นพื้นฐาน)
4. แนวทางการแก้ไข
4.1 ตรวจสอบและลบส่วนขยายที่ไม่จำเป็นหรือไม่ทราบแหล่งที่มาออกทันที
4.2 เปลี่ยนรหัสผ่านของบัญชีที่อาจได้รับผลกระทบ และเพิกถอน session ที่ยังคงใช้งานอยู่
4.3 รีเซ็ตและตั้งค่าการยืนยันตัวตนแบบสองขั้นตอนใหม่ หากสงสัยว่ารหัสสำหรับสร้าง OTP รั่วไหล
4.4 เปิดใช้งานการแจ้งเตือนการเข้าสู่ระบบผิดปกติ
4.5 ควรกำหนดรายการส่วนขยายที่อนุญาตให้ใช้งาน และบริหารจัดการการตั้งค่าอุปกรณ์จากส่วนกลาง
4.6 ตรวจสอบ Log การเข้าถึงบัญชีและอีเมลย้อนหลัง เพื่อค้นหาพฤติกรรมผิดปกติ
5. คำแนะนำด้านความปลอดภัยเพิ่มเติม
5.1 ใช้หลัก Least Privilege ในการกำหนดสิทธิ์บัญชีผู้ใช้
5.2 แยก Browser Profile สำหรับงานทั่วไปและงานที่เกี่ยวข้องกับข้อมูลสำคัญ
5.3 ตรวจสอบสิทธิ์ (Permissions) ของส่วนขยายอย่างสม่ำเสมอ
5.4 ให้ความรู้ผู้ใช้งานเกี่ยวกับความเสี่ยงจากส่วนขยายปลอม โดยเฉพาะเครื่องมือที่อ้างความสามารถด้าน AI หรือการดึงข้อมูลอัตโนมัติ
5.5 ติดตามข่าวสารแจ้งเตือนจากหน่วยงานด้านความมั่นคงปลอดภัยไซเบอร์อย่างต่อเนื่อง
6. แหล่งอ้างอิง
