mobile-logo

Chrome Extension อันตราย แอบส่องข้อมูลผู้ใช้และส่งกลับไปที่จีน มียอด Download แล้วกว่า 4.3 ล้านครั้ง!

03 Dec

Chrome Extension อันตราย แอบส่องข้อมูลผู้ใช้และส่งกลับไปที่จีน มียอด Download แล้วกว่า 4.3 ล้านครั้ง!

by Monster Online
in Blog
Comments

เหตุการณ์ล่าสุดที่ทำให้โลกไซเบอร์ต้องหันมาจับตาอีกครั้ง คือการค้นพบ Chrome Extension อันตรายที่อยู่มายาวนานกว่าเจ็ดปี โดยกลุ่มผู้โจมตีที่รู้จักในชื่อ ShadyPanda ระบุว่ามีการพัฒนาส่วนขยายเบราว์เซอร์ที่แฝงมัลแวร์และเก็บข้อมูลส่วนตัวของผู้ใช้ โดยมีจำนวนการติดตั้งรวมกว่า 4.3 ล้านครั้ง หลายกรณี ส่วนขยายเหล่านี้เริ่มต้นจากเครื่องมือที่ดูไม่มีอะไร ก่อนจะถูกอัปเดตให้กลายเป็นมัลแวร์ในเวลาต่อมาโดยที่ผู้ใช้ไม่รู้ตัวแม้แต่น้อย

 
 

ส่วนขยายที่เริ่มต้นอย่างถูกต้อง แต่ถูกดัดแปลงอย่างลับ ๆ

จากรายงานของ Koi Security ระบุว่า ส่วนขยายจำนวนห้ารายการซึ่งเคยเป็นโปรแกรมที่ทำงานตามปกติ ได้ถูกปรับเปลี่ยนให้เป็นอันตรายในช่วงกลางปี 2024 และแม้จะมียอดเพียงประมาณ 300,000 ครั้ง ก่อนที่ถูกถอดออก แต่ก็สะท้อนให้เห็นถึงรูปแบบการโจมตีที่อาศัยความไว้วางใจของผู้ใช้เป็นสำคัญ ความน่ากังวล คือ หนึ่งในส่วนขยายที่ชื่อ Clean Master เคยได้รับการยืนยันและโปรโมตโดย Google เอง ทำให้ผู้ใช้งานจำนวนมากเชื่อถือและติดตั้งโดยไม่มีความระแวงใด ๆ ความไว้วางใจนี้ได้เปิดทางให้ผู้โจมตีสามารถส่งอัปเดตเวอร์ชันอันตรายเข้าสู่เครื่องของผู้ใช้โดยไม่ต้องใช้เทคนิคหลอกลวงอื่นให้ยุ่งยาก

 

 

ตัวอย่างส่วนขยายที่ถูกตรวจพบโค้ดอันตราย

  • Clean Master: the best Chrome Cache Cleaner
  • Speedtest Pro-Free Online Internet Speed Test
  • BlockSite
  • Address bar search engine switcher
  • SafeSwift New Tab
  • Infinity V+ New Tab
  • OneTab Plus:Tab Manage & Productivity
  • WeTab 新标签页
  • Infinity New Tab for Mobile
  • Infinity New Tab (Pro)
  • Infinity New Tab
  • Dream Afar New Tab
  • Download Manager Pro
  • Galaxy Theme Wallpaper HD 4k HomePage
  • Halo 4K Wallpaper HD HomePage

หลังการอัปเดตดังกล่าว ส่วนขยายเหล่านี้จะทำงานแบบ Remote Code Execution รายชั่วโมง ติดต่อกับเซิร์ฟเวอร์ควบคุมเพื่อดาวน์โหลดและรันโค้ด JavaScript ใด ๆ ได้อย่างเต็ม Permission ในเบราว์เซอร์ ทำให้ผู้โจมตีเข้าถึงข้อมูลละเอียดอ่อนของผู้ใช้แบบที่ไม่เคยเกิดขึ้นมาก่อน ข้อมูลที่ถูกเก็บรวมถึงประวัติการท่องเว็บแบบเข้ารหัส ลักษณะเฉพาะของเบราว์เซอร์ (browser fingerprint) และรายการเว็บไซต์ที่ผู้ใช้เปิดทั้งหมด

 
 

ส่วนขยายอีกชุดที่เน้นการสอดแนม ส่งข้อมูลกลับจีน

นอกจากส่วนขยายห้าตัวแรกแล้ว ยังมีอีกชุดจำนวนห้าตัวซึ่งถูกเผยแพร่มาตั้งแต่ปี 2023 ภายใต้ชื่อผู้พัฒนาอย่าง “nuggetsno15” และ “rocket Zhang” ซึ่งพบทั้งใน Chrome Web Store และ Microsoft Edge โดยมีการติดตั้งรวมกว่า 4 ล้านครั้ง โดย WeTab มีผู้ใช้งานมากถึง 3 ล้านราย ชุดส่วนขยายเหล่านี้ถูกออกแบบมาเพื่อเก็บข้อมูลทุก URL ที่ผู้ใช้เข้าเยี่ยมชม จับพฤติกรรมการคลิก การค้นหา และแม้กระทั่งระยะเวลาในการอ่านหน้าเว็บ ก่อนส่งข้อมูลทั้งหมดไปยังเซิร์ฟเวอร์ที่ตั้งอยู่ในประเทศจีน

 

ในระยะเริ่มต้น ส่วนขยายเหล่านี้ถูกใช้เพื่อทำ Affiliate Fraud โดยแอบแทรก Tracking Code เมื่อผู้ใช้เข้าเว็บไซต์ช้อปปิ้ง เช่น Amazon หรือ Booking.com เพื่อสร้างรายได้แบบผิดกฎหมาย ต่อมาในปี 2024 พฤติกรรมเริ่มทวีความรุนแรงมากขึ้น โดยส่วนขยายจะบังคับเปลี่ยนเส้นทางการค้นหาไปยัง trovi.com ซึ่งเป็น Browser Hijacker ที่รู้จักกันดี พร้อมทำการเก็บข้อมูลคำค้นหาทั้งหมดและขายข้อมูลเหล่านั้นต่อให้บุคคลภายนอก

 
 

การอัปเดตที่ควรปกป้อง กลับกลายเป็นช่องทางโจมตี

กลไกการอัปเดตอัตโนมัติของ Chrome และ Edge ซึ่งควรจะเป็นระบบที่ช่วยรักษาความปลอดภัยให้ผู้ใช้ กลับกลายเป็นเครื่องมือที่ผู้โจมตีใช้เผยแพร่มัลแวร์โดยที่ผู้ใช้ไม่รู้ตัว รายงานชี้ว่าผู้โจมตีรอเวลาเพียงให้ส่วนขยายได้รับความนิยมและผ่านการตรวจสอบจากแพลตฟอร์มเท่านั้น จากนั้นจึงค่อยปล่อยการอัปเดตที่แฝง Backdoor เข้าไปแบบเงียบ ๆ

 

 

เมื่อส่วนขยายเชื่อมต่อไปยัง “api.extensionplay[.]com” ทุก ๆ ชั่วโมง และดาวน์โหลด Payload จาก “api.cleanmasters[.]store” ระบบก็จะทำหน้าที่สอดแนมเว็บทุกหน้า เก็บข้อมูลอย่างละเอียดพร้อมเข้ารหัส และส่งกลับไปยังผู้ควบคุม ยิ่งไปกว่านั้น หากผู้ใช้พยายามเปิด Developer Tools ส่วนขยายจะเปลี่ยนพฤติกรรมเป็นปกติ เพื่อหลบเลี่ยงการตรวจสอบ

แคมเปญทั้งหมดถูกแบ่งออกเป็นสี่ระยะตามลักษณะการโจมตี ตั้งแต่การปลอมตัวเป็นโปรแกรมเสริมธรรมดา ไปจนถึงการควบคุมเบราว์เซอร์อย่างเต็มรูปแบบ และดักขโมยข้อมูลสำคัญของผู้ใช้ เช่น Cookie เพื่อใช้ในกระบวนการยึดบัญชีหรือขโมยข้อมูลล็อกอิน

 
 

คำแนะนำสำหรับผู้ใช้งานจาก Microsoft

แม้ Microsoft จะประกาศลบส่วนขยายอันตรายทั้งหมดออกจาก Edge Add-ons แล้ว และ WeTab ก็ไม่สามารถดาวน์โหลดได้อีกต่อไป แต่จำนวนผู้ที่ได้รับผลกระทบอาจยังคงสูงอยู่ ผู้ใช้ที่เคยติดตั้งส่วนขยายในรายชื่อที่ถูกระบุ ควรลบออกทันทีและเปลี่ยนรหัสผ่านทั้งหมดเพื่อความปลอดภัย พร้อมตรวจสอบสิทธิ์ของส่วนขยายอื่น ๆ ที่ติดตั้งอยู่ หากเป็นองค์กร ควรบังคับใช้นโยบาย Allow-list / Block-list และตรวจสอบการใช้งานส่วนขยายทั้งหมดอย่างสม่ำเสมอ

เหตุการณ์นี้สะท้อนให้เห็นปัญหาหลักที่ผู้โจมตีใช้ซ้ำมานานถึงเจ็ดปี คือการที่แพลตฟอร์มตรวจสอบส่วนขยายเฉพาะช่วงเวลาที่ส่งขึ้นสโตร์เท่านั้น แต่ไม่สามารถเฝ้าระวังพฤติกรรมหลังได้รับอนุมัติได้ ทำให้ ShadyPanda สามารถค่อย ๆ ปรับเปลี่ยนส่วนขยายที่เคยเป็นเครื่องมือธรรมดาให้กลายเป็นสายลับดิจิทัลที่ติดตั้งอย่างแพร่หลายทั่วโลก

 
 

Reference

Admoni, T. (2025). ShadyPanda turns popular browser extensions into spyware. The Hacker News. Retrieved from https://thehackernews.com/2025/12/shadypanda-turns-popular-browser.html

Koi Security. (2025). 4 million browsers infected: Inside ShadyPanda’s 7-year malware campaign. Retrieved from https://www.koi.ai/blog/4-million-browsers-infected-inside-shadypanda-7-year-malware-campaign

หากสนใจสินค้า หรือต้องการคำปรึกษาเพิ่มเติม

💬 Line: @monsteronline

☎️ Tel: 02-026-6664

📩 Email: [email protected]

🌐 ดูสินค้าเพิ่มเติม: mon.co.th

Tags:
,,,,,,,
Monster Online
Monster Online