ส่วนขยาย Google Docs ออฟไลน์ปลอม
ส่วนขยาย Google Docs Offline ปลอมเป็นส่วนเสริมของเบราว์เซอร์ที่เป็นอันตรายซึ่งออกแบบมาให้ดูเหมือนเครื่องมือที่ถูกต้อง โดยปลอมตัวเป็นบริการของ Google ที่น่าเชื่อถือ แท้จริงแล้วมันเป็นส่วนหนึ่งของแคมเปญโจมตีทางไซเบอร์ที่ใหญ่กว่าที่เรียกว่า GlassWorm ส่วนขยายนี้ไม่ได้ถูกติดตั้งโดยผู้ใช้โดยตรง แต่จะถูกแทรกเข้าไปในเบราว์เซอร์อย่างเงียบๆ โดยมัลแวร์ที่มีอยู่แล้วผ่านสคริปต์ที่เป็นอันตราย เมื่อติดตั้งแล้ว มันจะกลมกลืนกับส่วนขยายที่ถูกต้อง ทำให้ตรวจจับได้ยาก
สารบัญ
การแทรกซึมอย่างเงียบๆ ผ่านการโจมตีแบบลูกโซ่
ภัยคุกคามนี้แพร่กระจายผ่านการโจมตีแบบลูกโซ่ที่ซับซ้อน โดยใช้ประโยชน์จากแพลตฟอร์มที่ถูกบุกรุก เช่น คลังเก็บข้อมูล GitHub, แพ็กเกจ npm และร้านค้าส่วนขยายเบราว์เซอร์ อาชญากรไซเบอร์ที่อยู่เบื้องหลัง GlassWorm ฝังโค้ดที่เป็นอันตรายไว้ในโครงการซอฟต์แวร์หรือการอัปเดตที่ดูเหมือนถูกต้องตามกฎหมาย ทำให้ดูเหมือนปลอดภัย
เมื่อผู้ใช้ติดตั้งหรืออัปเดตซอฟต์แวร์ที่ติดไวรัส โค้ดที่ซ่อนอยู่จะทำงานในเบื้องหลังและแทรกส่วนขยายปลอมเข้าไปในเบราว์เซอร์ ในบางกรณี มัลแวร์จะถูกส่งมาผ่านกลไกการอัปเดตที่หลอกลวงซึ่งคล้ายคลึงกับกระบวนการอย่างเป็นทางการ ทำให้มีโอกาสมากขึ้นที่จะติดไวรัสได้สำเร็จ
การเฝ้าระวังและเก็บรวบรวมข้อมูลเบราว์เซอร์อย่างเต็มรูปแบบ
เมื่อติดตั้งแล้ว ส่วนขยายปลอมนี้จะทำงานเป็นมัลแวร์ประเภทโทรจันสำหรับควบคุมจากระยะไกล (RAT) ทำให้ผู้โจมตีสามารถควบคุมกิจกรรมในเบราว์เซอร์ได้อย่างกว้างขวาง มันสามารถรวบรวมข้อมูลสำคัญได้หลากหลายประเภท รวมถึง:
- การกดแป้นพิมพ์ รวมถึงข้อมูลประจำตัวสำหรับการเข้าสู่ระบบและการป้อนแบบฟอร์ม
- คุกกี้และข้อมูลเซสชันที่ใช้งานอยู่จากเว็บไซต์
- รหัสเต็มของแท็บเบราว์เซอร์ที่ใช้งานอยู่
- ภาพหน้าจอของหน้าเว็บที่เปิดอยู่
- เนื้อหาในคลิปบอร์ดและบุ๊กมาร์กที่บันทึกไว้
- ประวัติการเข้าชม (สูงสุด 5000 รายการ)
- รายละเอียดอุปกรณ์และเบราว์เซอร์ รวมถึงข้อมูลฮาร์ดแวร์และ GPU/WebGL
- ข้อมูลเกี่ยวกับส่วนขยายเบราว์เซอร์ที่ติดตั้งไว้
ข้อมูลทั้งหมดที่รวบรวมได้จะถูกรวบรวมและส่งต่อไปยังอาชญากรไซเบอร์ โดยส่วนใหญ่เหยื่อจะไม่สามารถมองเห็นร่องรอยใดๆ ได้
ผลกระทบร้ายแรงต่อความปลอดภัยส่วนบุคคลและองค์กร
ระดับการเข้าถึงที่ได้รับจากส่วนขยายที่เป็นอันตรายนี้ ทำให้ข้อมูลสำคัญหลากหลายประเภทตกอยู่ในความเสี่ยง อีเมลส่วนตัว ข้อความ เอกสาร และข้อมูลส่วนบุคคลอื่นๆ อาจถูกเปิดเผย โดยเฉพาะอย่างยิ่งกิจกรรมทางการเงินมีความเสี่ยงสูง รวมถึงการทำธุรกรรมธนาคารออนไลน์ รายละเอียดการชำระเงิน และบัญชีสกุลเงินดิจิทัลที่เข้าถึงผ่านทางเบราว์เซอร์
ผู้โจมตีสามารถใช้ข้อมูลนี้เพื่อแฮ็กบัญชี ขโมยเงิน ปลอมตัวเป็นผู้ใช้ และดำเนินการกระทำการที่เป็นอันตรายอื่นๆ เมื่อติดตั้งบนอุปกรณ์ที่ใช้ในการทำงาน ผลกระทบอาจลุกลามไปสู่การละเมิดความปลอดภัยขององค์กรอย่างเต็มรูปแบบ ซึ่งอาจส่งผลกระทบต่อระบบภายในและข้อมูลธุรกิจที่เป็นความลับได้
การใช้การควบคุมการจัดการเบราว์เซอร์ในทางที่ผิด
นอกจากความสามารถในการสอดแนมแล้ว ส่วนขยายนี้ยังทำการเปลี่ยนแปลงคุณสมบัติ 'จัดการโดยองค์กรของคุณ' ของเบราว์เซอร์อีกด้วย โดยปกติแล้ว การตั้งค่านี้จะบ่งชี้ว่าเบราว์เซอร์นั้นอยู่ภายใต้การควบคุมของผู้ดูแลระบบอย่างเป็นทางการ เช่น ภายในสภาพแวดล้อมขององค์กร
ด้วยการใช้ประโยชน์จากคุณสมบัตินี้ มัลแวร์สามารถจำกัดการควบคุมของผู้ใช้ ป้องกันวิธีการกำจัดแบบมาตรฐาน และจำกัดการเข้าถึงการตั้งค่าเบราว์เซอร์ กลยุทธ์นี้ช่วยให้ส่วนขยายที่เป็นอันตรายคงอยู่และไม่ถูกตรวจพบเป็นเวลานาน
ภัยคุกคามที่ต่อเนื่องและมีความเสี่ยงสูง
ส่วนขยาย Google Docs Offline ปลอมนี้เป็นภัยคุกคามด้านความปลอดภัยทางไซเบอร์อย่างร้ายแรง เนื่องจากความสามารถในการปลอมแปลงตัวตน ตรวจสอบกิจกรรมของผู้ใช้ และขโมยข้อมูลที่ละเอียดอ่อนอย่างยิ่ง วิธีการติดตั้งที่แนบเนียนและกลไกการคงอยู่ของมันทำให้มันอันตรายเป็นพิเศษ
หากตรวจพบ จะต้องลบส่วนขยายและส่วนประกอบที่เป็นอันตรายที่เกี่ยวข้องออกทันที เพื่อป้องกันการขโมยข้อมูลอย่างต่อเนื่องและการโจมตีในระยะยาวที่อาจเกิดขึ้น
