ด่วน! แจ้งเตือนแคมเปญมัลแวร์ DarkSpectre แฝงตัวผ่านส่วนขยายเบราว์เซอร์ เสี่ยงถูกโจมตีและควบคุมอุปกรณ์

NCSA_THAICERT

ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ได้ติดตามสถานการณ์ภัยคุกคามทางไซเบอร์ และพบข้อมูลเกี่ยวกับแคมเปญมัลแวร์ DarkSpectre ซึ่งแฝงตัวผ่านส่วนขยายเบราว์เซอร์ที่มีลักษณะเสมือนถูกต้องตามกฎหมาย

หากผู้ใช้งานติดตั้งหรือเปิดใช้งานส่วนขยายที่ได้รับผลกระทบ อาจทำให้ผู้ไม่หวังดีสามารถฝังโค้ดอันตราย ดาวน์โหลดเพย์โหลดเพิ่มเติมจากเซิร์ฟเวอร์ควบคุม (Command and Control: C2) และเข้าควบคุมอุปกรณ์จากระยะไกล ส่งผลกระทบต่อความมั่นคงปลอดภัยของระบบสารสนเทศของหน่วยงานและองค์กรได้

1. รายละเอียดภัยคุกคาม

1.1 นักวิจัยด้านความมั่นคงปลอดภัยไซเบอร์จากบริษัท Koi ตรวจพบและเปิดเผยแคมเปญมัลแวร์ DarkSpectre ซึ่งเป็นปฏิบัติการโจมตีขนาดใหญ่
1.2 DarkSpectre ใช้ส่วนขยายเบราว์เซอร์ยอดนิยมเป็นช่องทางในการแฝงตัวและแพร่กระจาย บนเบราว์เซอร์ Google Chrome, Microsoft Edge และ Mozilla Firefox
1.3 แคมเปญดังกล่าวถูกตรวจพบครั้งแรกระหว่างการสืบสวนแคมเปญ ShadyPanda และส่งผลกระทบต่ออุปกรณ์มากกว่า 4 ล้านเครื่องทั่วโลก
1.4 มัลแวร์ถูกออกแบบให้เริ่มทำงานภายหลัง โดยอาศัยโค้ด JavaScript ที่ซ่อนอยู่ เพื่อดึงเพย์โหลดอันตรายจาก C2 เซิร์ฟเวอร์

2. ภาพรวมของภัยคุกคาม (Overview)

2.1 ประเภทภัยคุกคาม: Malware Campaign via Malicious Browser Extensions
2.2 เทคนิคการโจมตี: ใช้ส่วนขยายที่ดูเหมือนถูกต้องตามกฎหมาย สามารถแฝงโค้ด JavaScript เพื่อทำงานภายหลัง จากนั้น ทำการติดต่อกับ C2 เซิร์ฟเวอร์เพื่อรับคำสั่งเพิ่มเติม
2.3 ผู้โจมตีไม่จำเป็นต้องเข้าถึงระบบโดยตรง เพียงผู้ใช้ติดตั้งส่วนขยาย ก็อาจถูกโจมตีได้
2.4 ระบบที่ได้รับผลกระทบ: อุปกรณ์ผู้ใช้งานที่ติดตั้งส่วนขยายบน Chrome, Edge และ Firefox

3. ผลกระทบ หากแคมเปญ DarkSpectre ถูกโจมตีสำเร็จ อาจส่งผลดังนี้:
   3.1 อุปกรณ์ผู้ใช้งานถูกฝังมัลแวร์โดยไม่รู้ตัว
   3.2 ดาวน์โหลดและรันโค้ดอันตรายเพิ่มเติมจากระยะไกล
   3.3 ถูกควบคุมอุปกรณ์ผ่าน C2 เซิร์ฟเวอร์
   3.4 ข้อมูลส่วนบุคคลและข้อมูลองค์กรรั่วไหล
   3.5 ใช้อุปกรณ์เป็นฐานโจมตีระบบอื่นภายในเครือข่าย (Lateral Movement)

4. รายชื่อส่วนขยายเบราว์เซอร์ที่เกี่ยวข้อง

• Chrome Audio Capture
• ZED: Zoom Easy Downloader
• X (Twitter) Video Downloader
• Google Meet Auto Admit
• Zoom.us Always Show "Join From Web"
• Timer for Google Meet
• CVR: Chrome Video Recorder
• GoToWebinar & GoToMeeting Download Recordings
• Meet Auto Admit
• Google Meet Tweak (Emojis, Text, Cam Effects)
• Mute All on Meet
• Google Meet Push-To-Talk
• Photo Downloader for Facebook, Instagram
• Zoomcoder Extension
• Auto-join for Google Meet
• Edge Audio Capture (Edge)
• Twitter X Video Downloader (Firefox)
• New Tab – Customized Dashboard (Edge)
• "Google Translate" by charliesmithbons

5. แนวทางป้องกันและลดความเสี่ยง (Mitigation – Recommended)

5.1 ตรวจสอบและถอนการติดตั้ง (Remove) ส่วนขยายเบราว์เซอร์ที่ไม่จำเป็นหรือมีความเสี่ยง
5.2 อนุญาตให้ติดตั้งส่วนขยายเฉพาะที่ผ่านการอนุมัติจากหน่วยงาน (Extension Whitelisting)
5.3 อัปเดตเบราว์เซอร์และระบบปฏิบัติการให้เป็นเวอร์ชันล่าสุด
5.4 สแกนอุปกรณ์ด้วยโปรแกรมป้องกันมัลแวร์ที่เชื่อถือได้

6. แนวทางเฝ้าระวังเพิ่มเติม

6.1 ตรวจสอบ Log การใช้งานเบราว์เซอร์และทราฟฟิกเครือข่ายที่ผิดปกติ
6.2 เฝ้าระวังการติดต่อไปยัง C2 เซิร์ฟเวอร์ที่ไม่รู้จัก
6.3 ตรวจสอบการเรียกใช้งานบริการตรวจสอบ IP ภายนอก เช่น ipinfo.io ซึ่งอาจเป็นตัวบ่งชี้พฤติกรรมของมัลแวร์
6.4 แจ้งเตือนผู้ใช้งานให้หลีกเลี่ยงการติดตั้งส่วนขยายจากแหล่งที่ไม่น่าเชื่อถือ

7. คำแนะนำด้านความปลอดภัยเพิ่มเติม (Security Hardening)

7.1 กำหนดนโยบายควบคุมการใช้งานส่วนขยายเบราว์เซอร์ในองค์กร
7.2 แยกสิทธิ์ผู้ใช้งานทั่วไปออกจากสิทธิ์ผู้ดูแลระบบ
7.3 สำรองข้อมูลสำคัญอย่างสม่ำเสมอ
7.4 จัดอบรมให้ความรู้ผู้ใช้งานเกี่ยวกับภัยคุกคามจาก Browser Extension

แหล่งอ้างอิง (References)
https://www.techspot.com/news/110779-darkspectre-quietly-infected-millions-through-seemingly-legit-browser.html