205/69 (IT) ประจำวันพฤหัสบดีที่ 16 เมษายน 2569
ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์จาก Socket ตรวจพบแคมเปญมัลแวร์ขนาดใหญ่ที่แฝงตัวอยู่ใน Chrome Web Store โดยมีส่วนขยาย (Extensions) มากกว่า 100 รายการถูกออกแบบมาเพื่อโจรกรรมข้อมูลผู้ใช้โดยเฉพาะ ครอบคลุมตั้งแต่เครื่องมือจัดการ Telegram, เกมสล็อต, ไปจนถึงตัวช่วยเสริมสำหรับ YouTube และ TikTok จากการตรวจสอบรหัสต้นฉบับพบคอมเมนต์ภาษารัสเซีย ซึ่งบ่งชี้ว่านี่อาจเป็นปฏิบัติการแบบ Malware-as-a-Service (MaaS) โดยแฮกเกอร์กลุ่มนี้ใช้โครงสร้างพื้นฐานในการควบคุมและสั่งการ (C2) ร่วมกันเพื่อขโมยข้อมูลส่วนตัวและสร้างรายได้จากการโฆษณาที่ผิดกฎหมาย
ในแง่ของเทคนิค ส่วนขยายเหล่านี้มีการทำงานที่ร้ายแรงหลายรูปแบบ โดยกลุ่มที่ใหญ่ที่สุดจะใช้คำสั่ง chrome.identity.getAuthToken เพื่อโจรกรรม Google OAuth2 Bearer token ซึ่งเป็นโทเคนสำคัญที่ช่วยให้แฮกเกอร์เข้าถึงข้อมูลบัญชี Google ของเหยื่อได้โดยตรง รวมถึงการดึงข้อมูลโปรไฟล์ เช่น ชื่อ อีเมล และรูปภาพ นอกจากนี้ ยังพบส่วนขยายบางตัวที่ทำหน้าที่เป็น Backdoor แอบทำงานทันทีที่เปิดเบราว์เซอร์ และที่น่ากังวลที่สุดคือส่วนขยายที่มุ่งเป้าไปที่ Telegram Web โดยจะแอบขโมยข้อมูล Session ทุก ๆ 15 วินาที ทำให้ผู้ไม่หวังดีสามารถสวมรอยเข้าถึงข้อความและควบคุมบัญชี Telegram ของเหยื่อได้ทันที
แม้ว่าจะมีการรายงานไปยัง Google แล้ว แต่จากการตรวจสอบล่าสุดพบว่าส่วนขยายอันตรายหลายรายการยังคงเปิดให้ดาวน์โหลดอยู่ใน Chrome Web Store (เช่น Telegram Multi-account, Black Beard Slot Machine และ Page Locker) ซึ่งมักจะใช้ชื่อและไอคอนที่ดูน่าเชื่อถือเพื่อหลอกล่อผู้ใช้งาน ดังนั้น ผู้เชี่ยวชาญจึงขอแนะนำให้ผู้ใช้งานตรวจสอบส่วนขยายที่ติดตั้งอยู่ในเบราว์เซอร์ของตนเองอย่างละเอียด หากพบโปรแกรมที่ไม่คุ้นเคยหรือเข้าข่ายตามรายงาน ให้รีบลบออกทันที และควรตรวจสอบหน้าการตั้งค่าความปลอดภัยของบัญชี Google เพื่อเพิกถอนสิทธิ์การเข้าถึงที่ไม่ได้รับอนุญาตเพื่อป้องกันความเสียหายที่อาจเกิดขึ้นในอนาคต