Google ถอดส่วนเสริม QuickLens ออกจากเว็บสโตร์ของ Chrome แล้วหลังขโมยข้อมูลคริปโตจากเหยื่อ 7000 ราย

Chrome นั้นเรียกได้ว่าเป็นเว็บเบราว์เซอร์ยอดนิยมจากทาง Google ที่มีผู้ใช้งานกันเป็นจำนวนมาก ทั้งยังมีส่วนเสริม หรือ Extension ที่เข้ามาเสริมความสามารถ อำนวยความสะดวกให้กับผู้ใช้งานมากมาย และแน่นอนว่า ไม่ใช่ทุกส่วนเสริมที่จะปลอดภัย หลายตัวก็มีมัลแวร์แฝงมาด้วย

จากรายงานโดยเว็บไซต์ SCWorld ได้กล่าวถึงการที่ส่วนเสริมยอดนิยมบน Chrome อย่าง QuickLens - Search Screen with Google Lens ได้ถูกทาง Google ทำการลบออกจากเว็บสโตร์สำหรับการจำหน่ายแจกจ่ายส่วนเสริมของ Chrome อย่างเป็นทางการ Chrome Web Store หลังจากที่เวอร์ชัน 5.8 ซึ่งเป็นรุ่นล่าสุดของส่วนเสริมดังกล่าวได้ถูกแฮกสอดแทรกโค้ดมัลแวร์ลงไป ภายหลังจากที่ความเป็นเจ้าของ (Ownership) ของส่วนเสริมนั้นถูกเปลี่ยนมือจากผู้พัฒนารายเดิมไปยังผู้พัฒนารายอื่น ซึ่งเวอร์ชันที่ปนเปื้อนมัลแวร์นี้ก่อนที่จะถูกทาง Google ลบทิ้งนั้นได้มีผู้หลงดาวน์โหลดไปมากถึง 7,000 รายด้วยกัน

ภาพจาก : https://www.bleepingcomputer.com/news/security/quicklens-chrome-extension-steals-crypto-shows-clickfix-attack/

โดยในเวอร์ชันที่ปนเปื้อนมัลแวร์นั้นจะมีการลบการรักษาความปลอดภัยในส่วนหัว (Security Headers) อย่าง Content-Security-Policy ออก ทั้งยังมีการขอสิทธิ์ในการเข้าถึงเว็บเบราว์เซอร์ (Permission) ในระดับที่สูงมาก ทั้งยังนำไปสู่การรันสคริปท์แบบ JavaScript เพื่อติดต่อกับเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control) เพื่อส่งข้อมูลอัตลักษณ์ (Fingerprint) ของเหยื่อ และรอรับคำสั่งต่าง ๆ จากเซิร์ฟเวอร์ C2

ไม่เพียงเท่านั้นตัวมัลแวร์ตัวนี้ยังมีการหลอกลวงเหยื่อด้วยวิธีการใช้การแจ้งเตือนอัปเดตปลอม หรือแม้กระทั่งการใช้การแจ้งเตือนข้อผิดพลาดปลอม ซึ่งเป็นวิธีการหลอกลวงแบบ ClickFix ที่จะนำไปสู่การดาวน์โหลด และรันไฟล์ติดตั้งมัลแวร์ที่ดาวน์โหลดลงมาจากเซิร์ฟเวอร์ C2 ซึ่งมัลแวร์ดังกล่าวนั้นจะเป็นมัลแวร์ประเภทขโมยข้อมูล หรือ Infostealer ที่มุ่งเน้นการขโมยรหัสสำหรับการกู้กระเป๋าคริปโตเคอร์เรนซี (Seed Phase) จากกระเป๋าเงินยอดนิยมต่าง ๆ เช่น MetaMask และ Phantom นอกจากนั้นตัวมัลแวร์ยังมีความสามารถในการขโมยรหัสผ่าน และข้อมูลอ่อนไหวอื่น ๆ อีกด้วย