5 ส่วนขยาย Chrome (Chrome Extensions ) แฝงมัลแวร์ยึดบัญชีผู้ใช้

นักวิจัยด้านความปลอดภัยไซเบอร์จาก Socket พบส่วนขยาย Google Chrome ที่เป็นอันตรายทั้งหมด 5 รายการ มีดังนี้

• DataByCloud Access (ID: oldhjammhkghhahhhdcifmmlefibciph, ผู้เผยแพร่: databycloud1104) – ติดตั้ง 251 ครั้ง
• Tool Access 11 (ID: ijapakghdgckgblfgjobhcfglebbkebf, ผู้เผยแพร่: databycloud1104) – ติดตั้ง 101 ครั้ง
• DataByCloud 1 (ID: mbjjeombjeklkbndcjgmfcdhfbjngcam, ผู้เผยแพร่: databycloud1104) – ติดตั้ง 1,000 ครั้ง
• DataByCloud 2 (ID: makdmacamkifdldldlelollkkjnoiedg, ผู้เผยแพร่: databycloud1104) – ติดตั้ง 1,000 ครั้ง
• Software Access (ID: bmodapcihjhklpogdpblefpepjolaoij, ผู้เผยแพร่: Software Access) – ติดตั้ง 27 ครั้ง

ส่วนขยาย Google Chrome ปลอมตัวเป็นแพลตฟอร์ม HR และ ERP เช่น Workday, NetSuite และ SuccessFactors เพื่อขโมยคุกกี้ยืนยันตัวตนและยึดครองบัญชีผู้ใช้ โดยใช้เทคนิค Session Hijacking และปิดกั้นหน้าจัดการความปลอดภัย ทำให้ผู้ดูแลระบบไม่สามารถแก้ไขปัญหาได้ตามปกติ
ส่วนขยายเหล่านี้ถูกโฆษณาว่าเป็นเครื่องมือเพิ่มประสิทธิภาพการทำงาน และบางส่วนยังพบได้ในเว็บไซต์ดาวน์โหลดนอก Store แม้จะถูกลบออกจาก Chrome Web Store แล้ว

ผู้ใช้ Chrome ที่ติดตั้งส่วนขยายใด ๆ ในรายการดังกล่าว ต้องลบออกจากเบราว์เซอร์ทันที เปลี่ยนรหัสผ่านทั้งหมด และตรวจสอบสัญญาณการเข้าถึงที่ไม่ได้รับอนุญาตจาก IP หรืออุปกรณ์ที่ไม่คุ้นเคย

ที่มา

• thehackernews.com
• https://socket.dev/blog/5-malicious-chrome-extensions-enable-session-hijacking