Malware

ส่วนขยาย (Extension) ของ Google Chrome บรรจุโค้ดอันตรายลงหน้าเว็บ

Extension ดูหนังบน Google Chrome ซ่อนอันตรายเอาไว้

รายงานจาก Lab ของ ESET พบว่าจำนวนของภัยคุกคาม JS/Chromex.Submelius เพิ่มมากขึ้น 30 ถึง 40 เปอร์เซ็นต์ ตามประเทศโคลัมเบีย, เปรู, เอควาดอร์ และชิลี

ภัยคุกคามชนิดนี้เป็นโทรจันที่สามารถเปลี่ยนเส้นทางการเข้าเว็บไซต์ของผู้ใช้ไปยังเว็บไซต์เป้าหมาย ที่มีไวรัสมัลแวร์อยู่ และมีเป้าหมายเป็นโปรแกรม Google Chrome ซึ่งเป็นเบราว์เซอร์ที่กำลังเป็นที่นิยม เพราะฉะนั้นทาง Blog ESET จึงนำวิธีการทำงานและแพร่กระจายของมันมาเพื่อให้ทุกคนรู้ทันแฮกเกอร์กัน

ดูหนังพร้อมกับติดไวรัส

นี่เป็นตัวอย่างที่เกิดขึ้นกับเว็บไซต์ดูหนังออนไลน์ เมื่อผู้ใช้เปิดหนังขึ้นมาจะมีหน้าต่างเปิดขึ้นมาเพิ่มอีกอัน

01_ExtensionesFalsasChrome__-JSChromex_Submelius-768x662

แต่คนหลายคนเข้าใจว่าสิ่งนี้เป็นเรื่องปกติของเว็บไซต์แบบนี้อยู่แล้ว เพราะคิดว่าเป็นโฆษณาเชิญชวนทำงานผ่านอินเตอร์เน็ตหรือขายของอะไรทำนองนี้ แต่ในกรณีนี้หน้าต่างที่เปิดขึ้นมาจะปรากฎหน้าจอ Pop-Up ข้อความขึ้นมาเรื่อยๆและจะไม่หายไปหากคุณไม่ยอมกด “Accept”

02_ExtensionesFalsasChrome__-JSChromex_Submelius-768x161

นี่เป็นหน้าจอดาวน์โหลดส่วนขยาย (Extension) จาก Chrome Web Store และในรูปถัดไปจะเห็นความเปลี่ยนแปลงของ Address Bar หลังจากติดตั้งส่วนขยาย (Extension):

03_ExtensionesFalsasChrome__-JSChromex_Submelius-768x319

ถ้าผู้ใช้กด Accept เพื่อดาวน์โหลด พื้นที่ด้านข้างของ Address Bar ส่วนของไอคอนจะหายไปและถ้าคุณคลิกลงบนนั้น เบราว์เซอร์จะพาไปยังหน้าดาวน์โหลดส่วนขยาย (Extension) ตัวอื่นๆ ซึ่งคุณสามารถเห็นตัวอย่างได้จากรูปถัดไป ขอให้สังเกตความคิดเห็นของผู้ใช้

04_ExtensionesFalsasChrome__-JSChromex_Submelius-768x476

ถ้าหากภาพยนตร์ที่ผู้ใช้เลือกไว้เริ่มเล่นแล้วนั่นแสดงว่าผู้ใช้ได้ติดไวรัสตัวนี้เป็นที่เรียบร้อยแล้ว และเมื่อเราเข้าไปที่หน้าส่วนขยาย (Extension) คุณจะพบส่วนขยาย (Extension) ที่ถูกติดตั้งขึ้นมาก่อน และอนุญาตส่วนขยาย (Extension) นี้สามารถอ่าน และเปลี่ยนแปลงข้อมูลของคุณบนเว็บไซต์ที่คุณเปิด และหน้าต่างนี้จะไม่หายไปจนกว่าโค้ดอันตรายจะเข้าสู่เครื่องคอมพิวเตอร์ของผู้ใช้

05_ExtensionesFalsasChrome__-JSChromex_Submelius-768x578

เมื่อผู้ใช้เล่นอินเตอร์เน็ตจะพบกับหน้าต่างที่เปิดขึ้นเอง และระบุรายละเอียดของระบบภายในเครื่อง และส่งไปยังเว็บไซต์อื่นที่มีโค้ดอันตราย, โฆษณาปลอม และอะไรพวกๆนี้ เรื่อยๆ

06_ExtensionesFalsasChrome__-JSChromex_Submelius-768x240

วิธีลบส่วนขยาย (Extension)นี้ออกจากเครื่องของคุณ

ถ้าคุณดาวน์โหลดมันมาแล้วให้รีบลบออกจาก Google Chrome โดยทันที ง่ายๆโดยการพิมพ์ “chrome://extensions” ใน Address Bar และลบเจ้าส่วนขายตัวนี้ออก

เพื่อป้องกันไม่ให้เหตุการณ์แบบนี้เกิดขึ้นอีก การติดตั้งโปรแกรมรักษาความปลอดภัยเป็นทางเลือกที่ดีในการรับมือกับภัยคุกคามรูปแบบนี้

การคิดก่อนคลิกนี่เป็นสิ่งสำคัญมาก และเมื่อเข้าไปแล้วก็ควรระวัง โดยเฉพาะเว็บไซต์ที่เรียกร้องให้คุณติดตั้งส่วนขยาย (Extension) ซึ่งเราก็เห็นได้บ่อยๆที่พวกเขาอ้างชื่อ Youtube, Facebook และเว็บไซต์อื่นๆ เพื่อให้เราคิดว่าเป็นของจริง

Author: CAMILO GUTIÉRREZ AMAYA
Source:
https://www.welivesecurity.com/2017/04/28/fake-chrome-extensions-inject-code-web-pages/
Translated by: Worapon H.

%d bloggers like this: