31/69 (IT) ประจำวันจันทร์ที่ 19 มกราคม 2569
รายงานล่าสุดจาก LayerX และ Koi Security ผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์ ตรวจพบกลุ่มส่วนขยาย (Extensions) อันตรายใหม่ จำนวน 17 รายการ บนเว็บสโตร์ของ Google Chrome, Firefox และ Microsoft Edge ซึ่งมียอดติดตั้งรวมกันสูงถึง 840,000 ครั้ง โดยส่วนขยายเหล่านี้เป็นส่วนหนึ่งของปฏิบัติการมัลแวร์ที่ชื่อว่า GhostPoster ที่แฝงตัวมาในรูปแบบเครื่องมืออำนวยความสะดวก เช่น ตัวแปลภาษา (Translator), ตัวบล็อกโฆษณา (AdBlock), และเครื่องมือดาวน์โหลดวิดีโอ ซึ่งจากการตรวจสอบไทม์ไลน์พบว่าบางรายการแฝงตัวอยู่ในระบบมานานตั้งแต่ปี 2020
ความน่ากลัวของ GhostPoster คือเทคนิคการซ่อนโค้ดอันตรายไว้อย่างแนบเนียนในไฟล์รูปภาพโลโก้หรือภาพประกอบ (Steganography) เพื่อหลบเลี่ยงการตรวจจับของระบบความปลอดภัย เมื่อเหยื่อติดตั้งลงเครื่องแล้ว มัลแวร์จะทำการดึง Payload ออกมาเพื่อดักจับพฤติกรรมการเข้าเว็บไซต์ ขโมยข้อมูล แอบเปลี่ยนลิงก์สินค้าออนไลน์ เพื่อรับส่วนแบ่งรายได้ และฝังโฆษณาแบบล่องหนเพื่อปั่นยอดคลิก ล่าสุดยังพบเทคนิคใหม่ในส่วนขยายชื่อ Instagram Downloader ซึ่งมีการซ่อนคำสั่งที่ซับซ้อนขึ้น โดยใช้การถอดรหัส Base64 เพื่อรันสคริปต์โจมตี
แม้ปัจจุบันทาง Google, Mozilla และ Microsoft จะได้ทำการลบส่วนขยายเหล่านี้ออกจากสโตร์แล้ว แต่ผู้ที่ได้ทำการติดตั้งไปก่อนหน้านี้แล้ว จะยังคงมีความเสี่ยงอยู่ ดังนั้น ขอให้ผู้ใช้งานตรวจสอบเบราว์เซอร์ของท่าน หากพบรายชื่อดังต่อไปนี้ให้รีบถอนการติดตั้ง (Uninstall) โดยทันที
• Google Translate in Right Click (ยอดติดตั้งสูงสุดกว่า 5 แสนครั้ง)
• Translate Selected Text with Google
• Ads Block Ultimate
• Floating Player – PiP Mode
• Convert Everything
• Youtube Download
• One Key Translate
• Instagram Downloader
แหล่งข่าว : https://www.bleepingcomputer.com/news/security/malicious-ghostposter-browser-extensions-found-with-840-000-installs/
