Google ถอดส่วนเสริม QuickLens ออกจากเว็บสโตร์
Google ถอดส่วนเสริม QuickLens ออกจากเว็บสโตร์ของ Chrome แล้วหลังขโมยข้อมูลคริปโตจากเหยื่อ 7000 ราย
Chrome นั้นเรียกได้ว่าเป็นเว็บเบราว์เซอร์ยอดนิยมจากทาง Google ที่มีผู้ใช้งานกันเป็นจำนวนมาก ทั้งยังมีส่วนเสริม หรือ Extension ที่เข้ามาเสริมความสามารถ อำนวยความสะดวกให้กับผู้ใช้งานมากมาย และแน่นอนว่า ไม่ใช่ทุกส่วนเสริมที่จะปลอดภัย หลายตัวก็มีมัลแวร์แฝงมาด้วย
จากรายงานโดยเว็บไซต์ SCWorld ได้กล่าวถึงการที่ส่วนเสริมยอดนิยมบน Chrome อย่าง QuickLens - Search Screen with Google Lens ได้ถูกทาง Google ทำการลบออกจากเว็บสโตร์สำหรับการจำหน่ายแจกจ่ายส่วนเสริมของ Chrome อย่างเป็นทางการ Chrome Web Store หลังจากที่เวอร์ชัน 5.8 ซึ่งเป็นรุ่นล่าสุดของส่วนเสริมดังกล่าวได้ถูกแฮกสอดแทรกโค้ดมัลแวร์ลงไป ภายหลังจากที่ความเป็นเจ้าของ (Ownership) ของส่วนเสริมนั้นถูกเปลี่ยนมือจากผู้พัฒนารายเดิมไปยังผู้พัฒนารายอื่น ซึ่งเวอร์ชันที่ปนเปื้อนมัลแวร์นี้ก่อนที่จะถูกทาง Google ลบทิ้งนั้นได้มีผู้หลงดาวน์โหลดไปมากถึง 7,000 รายด้วยกัน
โดยในเวอร์ชันที่ปนเปื้อนมัลแวร์นั้นจะมีการลบการรักษาความปลอดภัยในส่วนหัว (Security Headers) อย่าง Content-Security-Policy ออก ทั้งยังมีการขอสิทธิ์ในการเข้าถึงเว็บเบราว์เซอร์ (Permission) ในระดับที่สูงมาก ทั้งยังนำไปสู่การรันสคริปท์แบบ JavaScript เพื่อติ�ดต่อกับเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control) เพื่อส่งข้อมูลอัตลักษณ์ (Fingerprint) ของเหยื่อ และรอรับคำสั่งต่าง ๆ จากเซิร์ฟเวอร์ C2
ไม่เพียงเท่านั้นตัวมัลแวร์ตัวนี้ยังมีการหลอกลวงเหยื่อด้วยวิธีการใช้การแจ้งเตือนอัปเดตปลอม หรือแม้กระทั่งการใช้การแจ้งเตือนข้อผิดพลาดปลอม ซึ่งเป็นวิธีการหลอกลวงแบบ ClickFix ที่จะนำไปสู่การดาวน์โหลด และรันไฟล์ติดตั้งมัลแวร์ที่ดาวน์โหลดลงมาจากเซิร์ฟเวอร์ C2 ซึ่งมัลแวร์ดังกล่าวนั้นจะเป็นมัลแวร์ประเภทขโมยข้อมูล หรือ Infostealer ที่มุ่งเน้นการขโมยรหัสสำหรับการกู้กระเป๋าคริปโตเคอร์เรนซี (Seed Phase) จากกระเป๋าเงินยอดนิยมต่าง ๆ เช่น MetaMask และ Phantom นอกจากนั้นตัวมัลแวร์ยังมีความสามารถในการขโมยรหัสผ่าน และข้อมูลอ่อนไหวอื่น ๆ อีกด้วย
ประสบการณ์ตรงจากการใช้งานส่วนเสริมของ Chrome ทำให้ผมตระหนักได้ว่าแม้ส่วนเสริมจะช่วยเพิ่มความสะดวก แต่ก็มีความเสี่ยงเรื่องความปลอดภัยที่ต้องไม่มองข้าม เหมือนกับกรณีส่วนเสริม QuickLens ที่ก่อนหน้านี้เคยใช้งานได้ดี แต่เมื่อเปลี่ยนมือผู้พัฒนาแล้วกลับมีโค้ดมัลแวร์ฝังตัวเข้ามา ซึ่งอาจนำไปสู่การถูกขโมยข้อมูลลับอย่างรหัส Seed Phrase สำหรับกระเป๋าเงินคริปโต เช่น MetaMask หรือ Phantom สิ่งนี้เป็นเตือนใจให้เราควรระมัดระวังในการติดตั้งส่วนเสริม โดยแนะนำให้ดาวน์โหลดเฉพาะจากผู้พัฒนาที่เชื่อถือได้ และตรวจสอบสิทธิ์การเข้าถึงที่ส่วนเสริมร้องขอ หากพบสิทธิ์ที่ดูเกินจำเป็นหรือผิดปกติควรหยุดใช้ทันที นอกจากนี้ ควรใช้โปรแกรมแอนตี้มัลแวร์และอัปเดตเบราว์เซอร์อย่างสม่ำเสมอเพื่อป้องกันภัยไซเบอร์ต่างๆ การที่มัลแวร์ฝังโค้ด JavaScript เพื่อสื่อสารกับเซิร์ฟเวอร์ควบคุม (C2) นั้นแสดงให้เห็นถึงความซับซ้อนและอันตรายของมัลแวร์สมัยใหม่ที่สามารถขโมยข้อมูลส่วนตัวได้หลากหลาย รวมทั้งสามารถสร้างการแจ้งเตือนปลอมเพื่อหลอกให้ดาวน์โหลดมัลแวร์เพิ่มเติมได้ด้วย ดังนั้นผู้ใช้ควรศึกษาและติดตามข่าวสารความปลอดภัยในเทคโนโลยีอย่างสม่ำเสมอ เพื่อไม่ให้ตกเป็นเหยื่อของมัลแวร์และการโจมตีในรูปแบบต่างๆ ที่พัฒนาขึ้นเรื่อยๆ
