บริษัทความปลอดภัยไซเบอร์ Koi Security ออกรายงานล่าสุดระบุว่าพบปลั๊กอินปลอม (fake extensions) บนเบราว์เซอร์ Firefox มากกว่า 40 ตัว ที่ถูกใช้เป็นเครื่องมือในการขโมยคริปโตเคอร์เรนซีจากผู้ใช้งาน โดยแคมเปญมัลแวร์นี้ยังคงดำเนินอยู่ในปัจจุบัน

ปลั๊กอินเหล่านี้แอบอ้างเป็นเครื่องมือกระเป๋าเงินดิจิทัลยอดนิยม เช่น Coinbase, MetaMask, Trust Wallet, Phantom, Exodus, OKX, MyMonero, Bitget และอีกหลายตัว โดยเมื่อผู้ใช้ติดตั้งแล้ว มัลแวร์จะทำการดึงข้อมูล credential (รหัสผ่านหรือ seed phrase) จากเว็บไซต์ที่เกี่ยวข้อง แล้วส่งไปยังเซิร์ฟเวอร์ของแฮกเกอร์ทันที

แฝงตัวแนบเนียน ปลอมรีวิวและใช้โค้ดจริงของปลั๊กอินแท้

Koi Security ระบุว่าแคมเปญนี้เริ่มต้นตั้งแต่เดือนเมษายน และปลั๊กอินล่าสุดเพิ่งถูกอัปโหลดขึ้นไปเมื่อสัปดาห์ที่ผ่านมา ความอันตรายอยู่ที่ปลั๊กอินเหล่านี้ถูกออกแบบให้ดูน่าเชื่อถือ มีการใส่รีวิวปลอมระดับ 5 ดาวจำนวนมาก รวมถึงใช้ชื่อและโลโก้เหมือนกับปลั๊กอินจริงทุกประการ

นอกจากนี้ แฮกเกอร์ยังนำโค้ดจากปลั๊กอินของแท้ที่เป็นโอเพ่นซอร์สมาใช้ แล้วเพิ่มโค้ดอันตรายเข้าไป โดยยังคงให้ประสบการณ์ใช้งานที่แทบไม่แตกต่างจากของจริง ทำให้ตรวจจับได้ยากมาก

สงสัยเป็นกลุ่มผู้โจมตีที่พูดภาษารัสเซีย

แม้จะยังไม่สามารถระบุตัวผู้โจมตีได้อย่างแน่ชัด แต่ Koi Security พบเบาะแสบางอย่าง เช่น คอมเมนต์ในโค้ดที่เป็นภาษารัสเซีย และไฟล์ PDF ที่ดึงมาจากเซิร์ฟเวอร์ควบคุมมัลแวร์ซึ่งมี metadata เป็นภาษารัสเซีย จึงมีความเป็นไปได้สูงว่าผู้โจมตีเป็นกลุ่มที่พูดภาษารัสเซีย

วิธีป้องกันมัลแวร์ปลั๊กอินปลอม

Koi Security แนะนำให้ผู้ใช้งานติดตั้งปลั๊กอินหรือส่วนขยายเบราว์เซอร์จากผู้พัฒนา (publisher) ที่ผ่านการตรวจสอบเท่านั้น และควรมองว่า “ปลั๊กอิน” ก็เป็นซอฟต์แวร์เต็มรูปแบบที่อาจสร้างความเสียหายได้หากไม่ระวัง ดังนั้นจึงควร:

• เปิดใช้ allowlist สำหรับส่วนขยายที่อนุญาต
• เฝ้าระวังพฤติกรรมหรือการอัปเดตของปลั๊กอินที่ผิดปกติ
• หลีกเลี่ยงการติดตั้งปลั๊กอินที่มีชื่อหรือโลโก้คล้ายของแท้ แต่ไม่ได้มาจากแหล่งทางการ

ภัยคุกคามทางไซเบอร์ที่เกี่ยวข้องกับคริปโตยังคงพัฒนาอย่างต่อเนื่อง และปลั๊กอินปลอมเหล่านี้เป็นอีกหนึ่งเครื่องมือของแฮกเกอร์ที่พยายามเข้าถึงทรัพย์สินดิจิทัลของผู้ใช้อย่างแนบเนียน

‍

อ้างอิง : cointelegraph.com
ภาพ betterworldtechnology.com