ส่วนขยาย Infostealer สำหรับ Chrome

นักวิเคราะห์ด้านความปลอดภัยได้ระบุส่วนขยาย Google Chrome ที่เป็นอันตราย ซึ่งถูกออกแบบมาเพื่อเก็บรวบรวมข้อมูลสำคัญจากสภาพแวดล้อม Meta Business ส่วนขยายดังกล่าวชื่อ CL Suite โดย @CLMasters นำเสนอตัวเองว่าเป็นเครื่องมือเพิ่มประสิทธิภาพการทำงานสำหรับผู้ใช้ Meta Business Suite และ Facebook Business Manager โดยได้รับการโปรโมตว่าเป็นเครื่องมือสำหรับดึงข้อมูลทางธุรกิจ ข้ามขั้นตอนการตรวจสอบ และสร้างรหัสยืนยันตัวตนสองขั้นตอน (2FA) ส่วนขยายนี้เผยแพร่บน Chrome Web Store เมื่อวันที่ 1 มีนาคม 2025

แม้ว่านโยบายความเป็นส่วนตัวจะระบุว่าข้อมูลลับของ 2FA และข้อมูล Business Manager จะถูกจำกัดอยู่ภายในระบบภายใน แต่การวิเคราะห์ทางเทคนิคกลับเผยให้เห็นความเป็นจริงที่แตกต่างออกไป ส่วนขยายนี้ขอสิทธิ์การเข้าถึงโดเมน meta.com และ facebook.com อย่างกว้างขวาง และส่งข้อมูลที่ละเอียดอ่อนไปยังโครงสร้างพื้นฐานที่ผู้โจมตีควบคุมอยู่โดยไม่ให้ผู้โจมตีรู้ตัว

ความสามารถในการดึงข้อมูลลับ

ส่วนขยายนี้จะรวบรวมและส่งออกข้อมูลที่มีมูลค่าสูงจากเซสชัน Meta ที่ได้รับการตรวจสอบสิทธิ์โดยไม่ให้ผู้ไม่ประสงค์ออกนาม ข้อมูลที่ถูกดึงออกมาจะถูกส่งไปยังแบ็กเอนด์ที่โฮสต์อยู่ที่ getauth[.]pro โดยมีกลไกเสริมในการส่งต่อข้อมูลเดียวกันไปยังช่อง Telegram ที่ดำเนินการโดยผู้ก่อภัยคุกคาม

ฟังก์ชันการเก็บรวบรวมข้อมูลของส่วนขยายนี้ครอบคลุมถึง:

• การขโมยข้อมูล TOTP และรหัส 2FA ที่ใช้งานอยู่ ซึ่งใช้ในการรักษาความปลอดภัยบัญชี Meta และ Facebook Business
• การดึงข้อมูล "บุคลากร" ของผู้จัดการธุรกิจ รวบรวมไว้ในไฟล์ CSV ซึ่งประกอบด้วยชื่อ ที่อยู่อีเมล บทบาทที่ได้รับมอบหมาย ระดับสิทธิ์ และสถานะการเข้าถึง
• การระบุรายการเอนทิตีของ Business Manager และสินทรัพย์ที่เชื่อมโยง รวมถึงบัญชีโฆษณา หน้าเว็บที่เกี่ยวข้อง การเชื่อมต่อสินทรัพย์ การกำหนดค่าการเรียกเก็บเงิน และรายละเอียดการชำระเงิน

แม้ว่าส่วนเสริมนี้จะไม่สามารถดักจับรหัสผ่านได้โดยตรง แต่ผู้โจมตีอาจนำรหัสผ่านแบบใช้ครั้งเดียวที่ถูกขโมยไปรวมกับข้อมูลประจำตัวที่ได้มาจากบันทึกของโปรแกรมขโมยข้อมูลหรือฐานข้อมูลที่รั่วไหล เพื่อเข้าถึงบัญชีโดยไม่ได้รับอนุญาต

นักวิจัยด้านความปลอดภัยเตือนว่า แม้จะมีฐานผู้ใช้งานค่อนข้างน้อย ข้อมูลที่รวบรวมได้ก็เพียงพอที่จะระบุเป้าหมายองค์กรที่มีมูลค่าสูงและอำนวยความสะดวกในการโจมตีต่อเนื่องได้

การขูดข้อมูลโดยแฝงมาในรูปของการเพิ่มประสิทธิภาพการทำงาน

กรณีของ CL Suite แสดงให้เห็นว่าส่วนขยายเบราว์เซอร์ที่มีขอบเขตการใช้งานแคบๆ สามารถปลอมแปลงการเก็บรวบรวมข้อมูลส่วนบุคคลอย่างก้าวร้าวให้ดูเหมือนเป็นการปรับปรุงกระบวนการทำงานที่ถูกต้องตามกฎหมายได้อย่างไร คุณสมบัติต่างๆ เช่น การดึงข้อมูลรายชื่อติดต่อ การรวบรวมข้อมูลวิเคราะห์ การระงับป๊อปอัพยืนยัน และการสร้าง 2FA ในเบราว์เซอร์ ไม่ใช่ยูทิลิตี้ที่เป็นกลาง แต่ทำหน้าที่เป็นเครื่องมือดึงข้อมูลที่สร้างขึ้นมาโดยเฉพาะเพื่อดูดรายชื่อติดต่อ ข้อมูลเมตา และข้อมูลการตรวจสอบสิทธิ์โดยตรงจากอินเทอร์เฟซทางธุรกิจของ Meta ที่ได้รับการตรวจสอบสิทธิ์แล้ว

โดยการแทรกตัวเข้าไปในเวิร์กโฟลว์ที่เชื่อถือได้ ส่วนขยายเหล่านี้จะหลีกเลี่ยงความสงสัยของผู้ใช้และทำงานภายในขอบเขตความปลอดภัยของเซสชันที่ใช้งานอยู่

แคมเปญ AiFrame: ผู้ช่วย AI ที่กลายมาเป็นตัวกลางในการส่งข้อมูล

ในแคมเปญที่แยกต่างหากแต่มีการประสานงานกัน ซึ่งมีชื่อว่า AiFrame นักวิจัยได้ค้นพบส่วนขยายเบราว์เซอร์ 32 รายการที่วางจำหน่ายในฐานะผู้ช่วยที่ขับเคลื่อนด้วย AI สำหรับการสรุปข้อความ การสนทนา การสนับสนุนการเขียน และการเพิ่มประสิทธิภาพการทำงานของ Gmail โดยรวมแล้ว ส่วนขยายเหล่านี้มียอดการติดตั้งมากกว่า 260,000 ครั้ง

แม้จะดูเหมือนถูกต้องตามกฎหมาย แต่ส่วนขยายเหล่านี้อาศัยสถาปัตยกรรมแบบรีโมทที่ขับเคลื่อนด้วยเซิร์ฟเวอร์ แทนที่จะประมวลผลข้อมูลในเครื่อง ส่วนขยายเหล่านี้จะฝังโอเวอร์เลย์ iframe แบบเต็มหน้าจอที่เชื่อมต่อกับโดเมน claude.tapnetic[.]pro การออกแบบนี้ช่วยให้ผู้ดูแลระบบสามารถเพิ่มความสามารถใหม่ๆ ได้อย่างรวดเร็วโดยไม่ต้องอัปเดตผ่าน Chrome Web Store

เมื่อติดตั้งแล้ว ส่วนขยายเหล่านี้จะทำหน้าที่เป็นตัวกลางที่มีสิทธิ์พิเศษระหว่างเบราว์เซอร์และโครงสร้างพื้นฐานระยะไกล เมื่อถูกเรียกใช้งาน ส่วนขยายจะตรวจสอบแท็บที่ใช้งานอยู่และใช้ไลบรารี Readability ของ Mozilla เพื่อดึงเนื้อหาบทความออกมา ความสามารถเพิ่มเติม ได้แก่ การเริ่มต้นการรู้จำเสียงพูดและการส่งบันทึกการถอดเสียงไปยังเซิร์ฟเวอร์ภายนอก

ส่วนขยายบางส่วนมุ่งเป้าไปที่ Gmail โดยเฉพาะ เมื่อผู้ใช้เข้าถึง mail.google.com และเปิดใช้งานคุณสมบัติการตอบกลับหรือสรุปข้อความที่ขับเคลื่อนด้วย AI เนื้อหาอีเมลที่มองเห็นได้จะถูกดึงออกมาโดยตรงจากแบบจำลองวัตถุเอกสาร (DOM) และส่งไปยังระบบแบ็กเอนด์ของบุคคลที่สามซึ่งควบคุมโดยผู้ให้บริการ ดังนั้น เนื้อหาอีเมลและข้อมูลเมตาตามบริบทอาจถูกถ่ายโอนออกไปนอกสภาพแวดล้อมที่ได้รับการปกป้องของ Gmail ไปยังเซิร์ฟเวอร์ระยะไกลโดยที่ผู้ใช้ไม่รู้ตัวอย่างชัดเจน

การใช้ส่วนขยายขนาดใหญ่ในทางที่ผิดและการค้าข้อมูล

การใช้ส่วนขยายเบราว์เซอร์ในทางที่ผิดไม่ได้จำกัดอยู่แค่ในแคมเปญเฉพาะกลุ่มเท่านั้น นักวิจัยยังพบส่วนขยาย Chrome จำนวน 287 รายการ ที่มีการติดตั้งรวมกันถึง 37.4 ล้านครั้ง คิดเป็นประมาณ 1% ของผู้ใช้ Chrome ทั่วโลก และยังส่งข้อมูลประวัติการท่องเว็บไปยังบริษัทตัวกลางข้อมูลอีกด้วย

การตรวจสอบก่อนหน้านี้ได้แสดงให้เห็นว่าข้อมูลการท่องเว็บที่เก็บรวบรวมได้ถูกนำไปรวบรวมและสร้างรายได้โดยบริษัทต่างๆ เช่น Similarweb และ Alexa ผลการค้นพบเหล่านี้เน้นย้ำถึงขอบเขตของการเฝ้าระวังโดยใช้ส่วนขยาย

เสริมสร้างการป้องกันการขยายช่องโหว่ที่เป็นอันตราย

เนื่องจากภัยคุกคามมีความรุนแรงมากขึ้น องค์กรและผู้ใช้งานแต่ละรายควรนำแนวทางการบริหารจัดการส่วนขยายอย่างมีระเบียบวินัยมาใช้ มาตรการป้องกันที่มีประสิทธิภาพ ได้แก่:

• ติดตั้งเฉพาะส่วนเสริมที่จำเป็นและได้รับการรีวิวที่ดีจากแหล่งจำหน่ายอย่างเป็นทางการเท่านั้น
• ดำเนินการตรวจสอบส่วนขยายที่ติดตั้งเป็นระยะ เพื่อตรวจจับสิทธิ์การเข้าถึงที่มากเกินไปหรือพฤติกรรมที่ผิดปกติ

ส่วนขยายของเบราว์เซอร์ทำงานด้วยสิทธิ์พิเศษมากมายภายในเซสชันที่เชื่อถือได้ หากไม่มีการกำกับดูแลอย่างเข้มงวด ส่วนขยายเหล่านี้อาจกลายเป็นช่องทางสำคัญในการขโมยข้อมูลและบุกรุกข้อมูลประจำตัวได้