แฮกเกอร์เจาะส่วนขยาย Chrome Web Store ยอดนิยม 36 รายการ ส่งผลให้ผู้ใช้หลายล้านคนติดโค้ดที่เป็นอันตราย การโจมตีทางไซเบอร์นั้นอิงจากแคมเปญฟิชชิ่งที่ซับซ้อน
สัปดาห์ที่แล้ว แฮกเกอร์ใช้ประโยชน์จากคริสต์มาสอีฟเพื่อประนีประนอมส่วนขยาย Chrome ยอดนิยม- อาชญากรไซเบอร์ส่งโค้ดที่เป็นอันตรายไปยังส่วนขยายเวอร์ชันใหม่โดยใช้ประโยชน์จากบัญชีนักพัฒนาซอฟต์แวร์บนGoogle Chrome เว็บสโตร์- เวอร์ชันใหม่เหล่านี้ถูกดาวน์โหลดและติดตั้งโดยผู้ใช้อินเทอร์เน็ต ส่วนขยายจึงสามารถดูดข้อมูลผู้ใช้บางส่วนได้
จากการสอบสวนที่ดำเนินการโดย Cyberhaven ซึ่งเป็นหนึ่งในเป้าหมายของการโจมตีทางไซเบอร์ พบว่าแฮกเกอร์ถูกโจมตีส่วนขยาย Chrome ทั้งหมด 36 รายการเพื่อบรรลุเป้าหมายของพวกเขา จากข้อมูลของบริษัทรักษาความปลอดภัยทางไซเบอร์ ส่วนขยายเหล่านี้มีผู้ใช้มากกว่า 2,600,000 ราย Cyberhaven กล่าวว่าจะยังคงดำเนินต่อไป“ติดตามการติดเชื้ออื่นๆ”-
อ่านเพิ่มเติม:การโจรกรรมครั้งใหญ่บน Google Chrome – แรนซัมแวร์ขโมยรหัสผ่านของผู้ใช้อินเทอร์เน็ต
ที่จุดเริ่มต้น: แคมเปญฟิชชิ่งที่ซับซ้อน
ไม่กี่วันหลังจากเหตุการณ์ ปรากฎว่าปฏิบัติการทั้งหมดเป็นไปตามแคมเปญฟิชชิ่งที่กว้างขวางมุ่งเป้าไปที่นักพัฒนาส่วนขยาย ตามที่เพื่อนร่วมงานของเราที่ Bleeping Computer รายงาน คลื่นฟิชชิ่งเริ่มขึ้นเมื่อต้นเดือนธันวาคม 2024 อย่างไรก็ตาม แฮกเกอร์ได้เตรียมการโจมตีตั้งแต่เดือนมีนาคมปีที่แล้ว
การโจมตีเริ่มต้นด้วยการส่งอีเมลฟิชชิ่งไปยังผู้พัฒนาส่วนขยาย Chrome โดยตรง เพื่อหลอกเป้าหมาย แฮกเกอร์ใช้ชื่อโดเมน เช่น supportchromestore.com, forextensions.com หรือแม้แต่ chromeforextension.com
ใน Google Group นักพัฒนาระบุว่าได้รับแล้ว“อีเมลฟิชชิ่งที่ซับซ้อนกว่าปกติ”- สิ่งนี้เตือนผู้ใช้ให้ต่อต้าน“การกล่าวหาว่าละเมิดนโยบายส่วนขยายของ Chrome โดยเฉพาะด้วยเหตุผลที่มีชื่อว่า: รายละเอียดที่ไม่จำเป็นในคำอธิบาย”-
ผู้โจมตีอ้างว่าส่วนขยายนั้นเสี่ยงต่อการถูกลบเนื่องจากคำอธิบายที่ไม่เพียงพอโดยการปลอมตัวเป็น Google ไม่น่าแปลกใจเลยที่อีเมลดังกล่าวสนับสนุนให้นักพัฒนาแก้ไขสถานการณ์โดยเร็วที่สุดโดยการคลิกลิงก์ไปยัง Chrome เว็บสโตร์
“ลิงก์ในอีเมลนี้ดูเหมือนร้านค้าอย่างเป็นทางการ แต่เปลี่ยนเส้นทางไปยังไซต์ฟิชชิ่งที่ออกแบบมาเพื่อพยายามควบคุมส่วนขยาย Chrome ของคุณ อาจมีความตั้งใจที่จะอัปเดตด้วยมัลแวร์ »เป็นพยานถึงผู้พัฒนาโดยอ้างถึงคลื่นแห่งความไม่พอใจที่เกิดขึ้นในวันส่งท้ายปีเก่า
นี่เป็นกระบวนการคลาสสิกโดยเฉพาะสำหรับแฮกเกอร์ที่เชี่ยวชาญด้านการโจมตีแบบฟิชชิ่ง เมื่อมาถึงหน้าหลอกลวง นักพัฒนาเป้าหมายจะถูกขอให้ให้สิทธิ์แฮกเกอร์ในการจัดการส่วนขยายจาก Chrome เว็บสโตร์ผ่านบัญชีของพวกเขา
ในการทำเช่นนี้ แฮกเกอร์ใช้แอปพลิเคชัน OAuth ที่เป็นอันตราย โดยไม่มีระบบการตรวจสอบสิทธิ์ซ้ำซ้อน นี่คือโปรโตคอลการอนุญาตมาตรฐานที่อนุญาตให้แอปพลิเคชันบุคคลที่สามเข้าถึงทรัพยากรที่ได้รับการป้องกันบนบริการอื่น โดยที่ผู้ใช้ไม่จำเป็นต้องแชร์ข้อมูลประจำตัว เช่น รหัสผ่าน เพียงไม่กี่คลิก นักพัฒนาก็มอบอำนาจให้กับอาชญากรไซเบอร์
🔴 เพื่อไม่พลาดข่าวสาร 01net ติดตามเราได้ที่Google ข่าวสารetวอทส์แอพพ์-
แหล่งที่มา : คอมพิวเตอร์ส่งเสียงบี๊บ
