ส่วนขยายเบราว์เซอร์ยอดนิยมถูกฝังมัลแวร์ กระทบผู้ใช้งานกว่า 4.3 ล้านราย
รายงานความปลอดภัยล่าสุดจาก Koi Security เปิดเผยถึงปฏิบัติการโจมตีทางไซเบอร์ที่น่าจับตามองจากกลุ่มผู้ไม่หวังดีในนาม "ShadyPanda" ซึ่งได้ทำการแทรกซึมส่วนขยาย (Extensions) บนเว็บเบราว์เซอร์ Chrome และ Edge ที่ได้รับความนิยมสูง เพื่อเปลี่ยนให้เป็นเครื่องมือจารกรรมข้อมูล โดยอาศัยความน่าเชื่อถือที่สะสมมานานกว่า 7 ปี
กลยุทธ์ "ความไว้วางใจ" และการโจมตีผ่านระบบอัปเดต
จุดเด่นของปฏิบัติการนี้คือ การที่แฮกเกอร์ไม่ได้สร้างมัลแวร์ขึ้นมาโจมตีโดยตรง แต่ใช้วิธีเผยแพร่ส่วนขยายที่ใช้งานได้จริงและปลอดภัยในช่วงแรก เช่น เครื่องมือทำความสะอาด Cache (Clean Master) หรือส่วนขยายปรับแต่งหน้าจอ จนสามารถสร้างฐานผู้ใช้งานได้รวมกว่า 4.3 ล้านเครื่อง และบางรายการเคยได้รับการรับรอง (Verified) จาก Google
เมื่อมีผู้ใช้งานจำนวนมากและได้รับความไว้วางใจ จุดเปลี่ยนสำคัญเกิดขึ้นในช่วงกลางปี 2024 เมื่อกลุ่ม ShadyPanda ได้อาศัยช่องโหว่ของ "ระบบอัปเดตอัตโนมัติ" ปล่อยอัปเดตที่แฝงโค้ดอันตราย (Malicious Code) เข้าสู่เครื่องของผู้ใช้งานโดยที่ระบบตรวจสอบยังไม่ทันได้ตรวจจับ
ความสามารถของมัลแวร์และความเสียหาย
เมื่อส่วนขยายได้รับการอัปเดตเป็นเวอร์ชันอันตราย จะมีพฤติกรรมเป็นสปายแวร์ที่มีความสามารถดังนี้
การรันโค้ดจากระยะไกล (Remote Code Execution): มัลแวร์จะเชื่อมต่อกับเซิร์ฟเวอร์ควบคุมทุกชั่วโมงเพื่อรับคำสั่งและสคริปต์ใหม่ๆ
การจารกรรมข้อมูล (Data Exfiltration): บันทึกประวัติการเข้าชมเว็บไซต์, คำค้นหา (Search Queries), การคลิกเมาส์ และพฤติกรรมการใช้งานอย่างละเอียด
การขโมยตัวตน (Session Hijacking): ลักลอบเก็บข้อมูล Cookies และ Session ซึ่งอาจนำไปสู่การสวมรอยเข้าบัญชีออนไลน์ต่างๆ ของผู้ใช้
การฉ้อโกงทางธุรกิจ (Affiliate Fraud): แอบฝังโค้ดเพื่อสร้างรายได้จากการคลิกสินค้าหรือบริการบนแพลตฟอร์ม E-commerce โดยมิชอบ
นอกจากนี้ มัลแวร์ยังมีกลไกการหลบหลีกการตรวจสอบ โดยจะหยุดการทำงานทันทีหากตรวจพบว่าผู้ใช้กำลังเปิดเครื่องมือสำหรับนักพัฒนา (Developer Tools)
รายการส่วนขยายที่ควรตรวจสอบและลบออกทันที
หากท่านมีการติดตั้งส่วนขยายดังต่อไปนี้ (ทั้งบน Chrome และ Edge) ขอแนะนำให้ทำการถอนการติดตั้ง (Uninstall) ทันที
Clean Master: the best Chrome Cache Cleaner
Speedtest Pro-Free Online Internet Speed Test
BlockSite
Address bar search engine switcher
SafeSwift New Tab
Infinity V+ New Tab
OneTab Plus:Tab Manage & Productivity
WeTab 新标签页
Infinity New Tab for Mobile
Infinity New Tab (Pro)
Infinity New Tab
Dream Afar New Tab
Download Manager Pro
Galaxy Theme Wallpaper HD 4k HomePage
Halo 4K Wallpaper HD HomePage
บทสรุปและคำแนะนำ
กรณีศึกษาของ ShadyPanda สะท้อนให้เห็นถึงช่องโหว่ในกระบวนการตรวจสอบของ App Store ที่มักเข้มงวดเพียงขั้นตอนการส่งแอปเข้าสู่ระบบครั้งแรก แต่ยังขาดการเฝ้าระวังที่มีประสิทธิภาพหลังจากแอปได้รับการอนุมัติและปล่อยอัปเดตในภายหลัง
คำแนะนำ
ใช้ EDR หรือ Management Tools สแกนหาเครื่องที่มี Extension ID ตามข่าว และใช้ Group Policy (GPO) หรือ MDM สั่งถอนการติดตั้ง (Force Uninstall) ทันที
เนื่องจากมัลแวร์ขโมย Cookies/Sessions การลบส่วนขยายไม่เพียงพอ ต้องสั่ง Force Logout ทุก Session ของผู้ใช้งานที่ติดไวรัส และบังคับเปลี่ยนรหัสผ่าน (Reset Password) ใหม่ทั้งหมด
มาตรการป้องกันระยะยาว (Prevention)
ใช้ระบบ Allowlist เปลี่ยนนโยบายจาก "อนุญาตทั้งหมด" เป็น *"บล็อกทั้งหมด (Block )" แล้วอนุญาต ให้ติดตั้งเฉพาะส่วนขยายที่องค์กรตรวจสอบแล้วว่าปลอดภัยและจำเป็นต่องานเท่านั้น
รวมศูนย์จัดการ (Centralized Management) เปิดใช้ Chrome Enterprise Core หรือ Edge Management Service เพื่อให้เห็น Dashboard การติดตั้งส่วนขยายของทั้งองค์กรแบบ Real-time
บล็อกเครือข่าย (Network Filtering) อัปเดต Firewall/Proxy เพื่อบล็อก Domain ปลายทาง (C2 Server) ที่มัลแวร์ใช้สื่อสาร
ตรวจสอบสิทธิ์ก่อนอนุมัติส่วนขยายใดๆ ให้ตรวจสอบ Permission ว่าขอสิทธิ์เข้าถึงข้อมูล "ทุกเว็บไซต์" (Read/Change all data on websites) เกินความจำเป็นหรือไม่
นึกถึงเรื่องความปลอดภัยทางไซเบอร์ ไว้ใจ BAYCOMS
Your Trusted Cybersecurity Partner.
ติดต่อสอบถามหรือปรึกษาเราได้ที่ :
Bay Computing Public Co., Ltd
Tel: 02-115-9956
Email: info@baycoms.com
Website: www.baycoms.com
#BAYCOMS #YourTrustedCybersecurityPartner #Cybersecurity #shadyPanda #Chrome #Edge
โฆษณา
- ดาวน์โหลดแอปพลิเคชัน
- © 2026 Blockdit
