ล่าสุดมีการเปิดเผยว่ากลุ่มแฮกเกอร์ชื่อ ShadyPanda ได้เปิดตัวการโจมตีที่ซับซ้อน โดยโฟกัสไปที่ผู้ใช้เบราว์เซอร์ Google Chrome และ Microsoft Edge นับตั้งแต่ปี 2017 การโจมตีนี้ดำเนินมาอย่างต่อเนื่องเป็นเวลาร่วมเจ็ดปี ส่งผลกระทบต่อผู้ใช้ประมาณ 4.3 ล้านคน โดยกลุ่มนี้ใช้วิธีการแฝงตัวในส่วนขยายเบราว์เซอร์ที่ดูเหมือนจะเป็นของแท้และมีความนิยมสูง เมื่อได้สร้างความเชื่อมั่นจนมีผู้ติดตั้งมากมาย พวกเขาจึงเริ่มอัปเดตที่มีอันตราย ซึ่งส่งผลให้เกิดการขโมยข้อมูลการใช้งาน การแอบแทรกผลการค้นหา รวมถึงการติดตั้งการเข้าถึงข้อมูลโดยทางไกล
Koi Security ได้เตือนว่าผลกระทบเหล่านี้มีความเสี่ยงอย่างมากต่อนโยบายความปลอดภัยภายในองค์กร เพราะหากเครื่องคอมพิวเตอร์ของพนักงานได้ติดตั้งเบราว์เซอร์เหล่านี้ ก็อาจก่อให้เกิดการเข้าถึงข้อมูลทางการเงินและข้อมูลที่สำคัญได้ง่ายขึ้น โดย Tuval Admoni นักวิจัยด้านความปลอดภัยได้กล่าวไว้ในบล็อกของ Koi ว่า “หากมีเครื่องพัฒนาโปรแกรมที่ติดเชื้อ ก็อาจนำไปสู่การขโมย API keys และข้อมูลสำคัญที่เกี่ยวข้องกับระบบที่ใช้งานอยู่”
แม้ว่าขณะนี้ส่วนขยายที่เป็นอันตรายเหล่านี้ได้ถูกลบออกจากแพลตฟอร์มแล้ว แต่ความเสี่ยงยังคงอยู่ เนื่องจากการโจมตีที่อาจเกิดขึ้นในอนาคตนั้นยังคงมีศักยภาพในการใช้ประโยชน์จากเครื่องที่ติดเชื้อเหล่านี้ แม้ว่าผู้ใช้จะได้พยายามลบส่วนขยายที่เป็นปัญหาออกไปแล้ว Koi ยังชี้ให้เห็นว่าแฮกเกอร์สามารถเก็บรวบรวมข้อมูลที่มีค่าสูง ไม่ว่าจะเป็นคะแนนการล๊อกอิน คุกกี้ และข้อมูลที่เกี่ยวข้องกับการใช้งานต่าง ๆ ได้แล้ว”
ShadyPanda ได้พัฒนาและปรับเปลี่ยนกลยุทธ์การโจมตีไปตามเทคโนโลยี โดยเล็งเป้ามาที่ส่วนขยายที่ได้รับความนิยม และในช่วงแรกได้มีการกระจายส่วนขยายที่ดูเหมือนจะถูกต้องตามมาตรฐาน เช่น Clean Master ซึ่งมีผู้ติดตั้งถึง 200,000 ราย การตั้งค่าความเชื่อถือในระดับสูงนี้ทำให้ส่วนขยายเหล่านี้ถูกยอมรับอย่างแพร่หลาย จนกระทั่งภายหลังมีการอัปเดตให้มีการเก็บข้อมูลและติดตามพฤติกรรมของผู้ใช้”
"ความสำเร็จของ ShadyPanda มาจากการใช้ประโยชน์จากจุดอ่อนเดียวกันเป็นเวลานาน: แพลตฟอร์มที่ตรวจสอบส่วนขยายเมื่อส่ง แต่จะไม่มีการตรวจสอบสิ่งที่เกิดขึ้นหลังจากนั้น" Admoni กล่าวถึงช่องโหว่ที่เป็นประโยชน์ต่อการโจมตีนี้
ในช่วงเวลาที่มีการตรวจสอบโค้ดโดยผู้พัฒนา กลุ่ม ShadyPanda ได้หาวิธีซ่อนโปรแกรมที่เป็นอันตราย ทำให้ผู้วิจัยยากที่จะตรวจสอบหรือติดตาม โดยมีการใช้เทคนิคในการทำให้โค้ดมีความไม่ชัดเจนและซ่อนเร้นต่อไป
ในขณะที่ Google ได้ลบ Clean Master แล้วและไม่มีส่วนขยายที่เกี่ยวข้องยังคงอยู่ใน Chrome Web Store ข้อมูลยังเผยว่า ขณะนี้มีส่วนขยาย 5 ตัวที่ปล่อยออกมาโดย Starlab Technology ใน Microsoft Edge ที่เป็นโปรแกรม spyware อยู่ด้วย
การดำเนินการที่ระมัดระวังจาก ShadyPanda ทำให้แฮกเกอร์สามารถทำหน้าที่เหมือนกับการโจมตีแบบ man-in-the-middle ซึ่งทำการแทรกข้อมูลต่าง ๆ เข้ากับผู้ใช้งานในขณะที่ท่องอินเทอร์เน็ต การโจมตีนี้มีความอันตรายเพราะให้มุมมองอย่างต่อเนื่องถึงการมีปฏิสัมพันธ์ของผู้ใช้กับเว็บซึ่งสร้างโอกาสให้แฮกเกอร์สามารถเก็บสอบข้อมูลการลงชื่อเข้าระบบและประวัติการใช้งานได้
ในบล็อก Koi มีการเผยแพร่รายการของส่วนขยายที่เป็นอันตรายของ Chrome และ Edge รวมถึงโดเมนการควบคุมข้อมูลที่ช่วยในการตรวจสอบและป้องกันการโจมตีที่อาจเกิดขึ้นในอนาคต ซึ่งข่าวเทคโนโลยีนี้เป็นการเตือนให้ผู้ใช้ทุกคนต้องระมัดระวังในการติดตั้งและใช้งานส่วนขยายต่าง ๆ
