ทีมนักวิจัยจาก Reason Labs ได้ค้นพบมัลแวร์โทรจันแฝงอยู่ในส่วนเสริมเบราว์เซอร์ Chrome และ Edge เพื่อขโมยข้อมูลส่วนตัวและดำเนินการคำสั่งต่างๆจากระยะไกล ซึ่งตอนนี้คาดว่ามีผู้ได้รับผลกระทบมากกว่า 300,000 ราย

แฮกเกอร์ได้สร้างเว็บปลอมเพื่อหลอกให้ดาวน์โหลดโปรแกรมยอดนิยมอย่าง VLC หรือ KeePass เมื่อคนหลงเชื่อก็จะเป็นการติดตั้งมัลแวร์เข้าไปแทน หลังจากนั้นโปรแกรมจะลงทะเบียน ทำงานตามกำหนดไว้ เช่น ดาวน์โหลดสคริปต์ PowerShell จากนั้นสคริปต์นี้จะดาวน์โหลดข้อมูลจากเซิร์ฟเวอร์ระยะไกลและดำเนินการในหน่วยความจำ

สคริปต์นี้จะเพิ่ม registry keys เพื่อบังคับให้ติดตั้งส่วนขยายจาก Chrome Web Store และ Edge Add-ons โดยผู้ใช้ไม่สามารถปิดการใช้งานได้เพราะจะไม่ปรากฏในหน้าการจัดการส่วนขยายของเบราว์เซอร์ แม้ว่าจะเปิดใช้งานโหมดนักพัฒนาซอฟต์แวร์ก็ตาม

สคริปต์จะปิดการใช้งานการอัปเดตเบราว์เซอร์ทั้งหมด เนื่องจากระหว่างการอัปเดตแต่ละครั้ง การตั้งค่าเริ่มต้นจะถูกกู้คืน ซึ่งจะรบกวนการทำงานของมัลแวร์

สคริปต์ยังดาวน์โหลดส่วนขยายภายในเครื่อง (“Google Updater”) เพื่อเข้ายึดครองการค้นหาเริ่มต้นของเบราว์เซอร์ (Bing หรือ Google) และเปลี่ยนเส้นทางไปยังพอร์ทัลการค้นหาของแฮกเกอร์

วิธรลยมัลแวร์และส่วนเสริมอันตราย

ทีมวิจัยกล่าวว่า ตอนนี้โปรแกรมป้องกันไวรัสส่วนใหญ่ไม่ตรวจพบโปรแกรมติดตั้งและส่วนขยายที่พัฒนาโดย Tommy Tech LTD ซึ่งเผยแพร่มาตั้งแต่ปี 2021

ส่วนเสริมอันตรายเหล่านี้มักจะใช้คำว่า “Search” อยู่ในชื่อ เช่น “Custom Search Bar”, “Your Search Bar” ส่วน บน Edge นั้นจะใช้คำว่า “Search” หรือ “Tab” ในชื่อ เช่น ”Simple New Tab”, “NewTab Wonders”, “EXYZ Search” เป็นต้น ซึ่งส่วนเสริมเหล่านี้ถูกถอดออกหมดแล้วโดย Google และ Microsoft

นักวิจัยประเมินว่า มีผู้ใช้เบราว์เซอร์อย่างน้อย 300,000 รายได้รับผลกระทบ ซึ่งบางคนบอกว่าไม่พบวิธีที่จะลบส่วนเสริมที่เป็นอันตรายได้ออกไปได้

นักวิจัยได้บอกว่า วิธีเดียวที่จะลบมัลแวร์นี้ได้สำเร็จ คือ ต้องกำจัดกลไกของมันออกไป โดยเข้าไปลบ scheduled task, registry keys แล้วค่อยลบไฟล์มัลแวร์ออกไป

ที่มา https://www.helpnetsecurity.com/2024/08/12/chrome-edge-malicious-browser-extensions/