กลุ่มแฮกเกอร์ ShadyPanda ใช้เวลา 7 ปีในการสร้างความไว้วางใจผ่านส่วนขยาย Chrome และ Edge
นักวิจัยจาก Koi Security เปิดเผยว่า ShadyPanda ใช้กลยุทธ์ “long game” โดยอัปโหลดส่วนขยายที่ดูปกติ เช่น Clean Master และ WeTab ให้ผู้ใช้ติดตั้ง เมื่อได้รับความไว้วางใจและยอดดาวน์โหลดสูงแล้ว จึงปล่อยอัปเดตที่แฝงโค้ดอันตราย ทำให้สามารถสอดแนมและควบคุมเครื่องได้โดยตรง
สองปฏิบัติการหลัก
Remote Code Execution (RCE) Backdoor: ส่วนขยายที่เคยได้รับการรับรองจาก Google ถูกเปลี่ยนเป็น backdoor สามารถรันโปรแกรมใด ๆ บนเครื่องได้โดยไม่รู้ตัว (กระทบผู้ใช้กว่า 300,000 คน)
Spyware Empire: ส่วนขยายอย่าง WeTab (3 ล้านดาวน์โหลด) ถูกใช้เก็บข้อมูลทุก URL, คำค้นหา และแม้แต่การคลิกเมาส์ โดยส่งข้อมูลไปยังเซิร์ฟเวอร์ในจีน (กระทบผู้ใช้กว่า 4 ล้านคน)
จุดอ่อนของระบบตรวจสอบ
การโจมตีครั้งนี้เผยให้เห็นว่า ตลาดส่วนขยายของ Chrome และ Edge เน้นตรวจสอบตอนส่งครั้งแรก แต่ไม่เฝ้าระวังพฤติกรรมหลังจากนั้น ทำให้ ShadyPanda สามารถสร้างฐานผู้ใช้มหาศาลก่อนจะปล่อยการโจมตีจริงในปี 2024
ความเห็นจากผู้เชี่ยวชาญ
Randolph Barr (Cequence Security): ย้ำว่ากลยุทธ์นี้เป็นหนึ่งใน supply chain attack ที่ยาวนานและซับซ้อนที่สุด
Diane Downie (Black Duck): เตือนว่ามัลแวร์เลียนแบบโค้ดปกติได้ยากต่อการตรวจจับ และองค์กรควรใช้ Zero-Trust
Trey Ford (Bugcrowd): ชี้ว่าการตรวจสอบส่วนขยายควรเน้นพฤติกรรมต่อเนื่อง ไม่ใช่แค่การส่งครั้งแรก
สรุปประเด็นสำคัญ
รายละเอียดการโจมตี ShadyPanda
ใช้ส่วนขยาย Chrome/Edge ที่ดูปกติ
แฝงโค้ดอันตรายหลังได้รับความไว้วางใจ
สองปฏิบัติการหลัก
RCE Backdoor (300,000 ผู้ใช้)
Spyware Empire (4 ล้านผู้ใช้)
จุดอ่อนของระบบตรวจสอบ
ตรวจสอบเฉพาะตอนส่งครั้งแรก
ไม่เฝ้าระวังพฤติกรรมหลังอัปเดต
คำเตือนต่อผู้ใช้และองค์กร
ส่วนขยายที่มีเรตติ้งสูงก็อาจเป็นอันตราย
ข้อมูลส่วนตัวและ API keys เสี่ยงถูกขโมย
ต้องใช้แนวทาง Zero-Trust และตรวจสอบพฤติกรรมอย่างต่อเนื่อง
https://hackread.com/shadypanda-attack-spied-chrome-edge-users/
นักวิจัยจาก Koi Security เปิดเผยว่า ShadyPanda ใช้กลยุทธ์ “long game” โดยอัปโหลดส่วนขยายที่ดูปกติ เช่น Clean Master และ WeTab ให้ผู้ใช้ติดตั้ง เมื่อได้รับความไว้วางใจและยอดดาวน์โหลดสูงแล้ว จึงปล่อยอัปเดตที่แฝงโค้ดอันตราย ทำให้สามารถสอดแนมและควบคุมเครื่องได้โดยตรง
สองปฏิบัติการหลัก
Remote Code Execution (RCE) Backdoor: ส่วนขยายที่เคยได้รับการรับรองจาก Google ถูกเปลี่ยนเป็น backdoor สามารถรันโปรแกรมใด ๆ บนเครื่องได้โดยไม่รู้ตัว (กระทบผู้ใช้กว่า 300,000 คน)
Spyware Empire: ส่วนขยายอย่าง WeTab (3 ล้านดาวน์โหลด) ถูกใช้เก็บข้อมูลทุก URL, คำค้นหา และแม้แต่การคลิกเมาส์ โดยส่งข้อมูลไปยังเซิร์ฟเวอร์ในจีน (กระทบผู้ใช้กว่า 4 ล้านคน)
จุดอ่อนของระบบตรวจสอบ
การโจมตีครั้งนี้เผยให้เห็นว่า ตลาดส่วนขยายของ Chrome และ Edge เน้นตรวจสอบตอนส่งครั้งแรก แต่ไม่เฝ้าระวังพฤติกรรมหลังจากนั้น ทำให้ ShadyPanda สามารถสร้างฐานผู้ใช้มหาศาลก่อนจะปล่อยการโจมตีจริงในปี 2024
ความเห็นจากผู้เชี่ยวชาญ
Randolph Barr (Cequence Security): ย้ำว่ากลยุทธ์นี้เป็นหนึ่งใน supply chain attack ที่ยาวนานและซับซ้อนที่สุด
Diane Downie (Black Duck): เตือนว่ามัลแวร์เลียนแบบโค้ดปกติได้ยากต่อการตรวจจับ และองค์กรควรใช้ Zero-Trust
Trey Ford (Bugcrowd): ชี้ว่าการตรวจสอบส่วนขยายควรเน้นพฤติกรรมต่อเนื่อง ไม่ใช่แค่การส่งครั้งแรก
สรุปประเด็นสำคัญ
รายละเอียดการโจมตี ShadyPanda
ใช้ส่วนขยาย Chrome/Edge ที่ดูปกติ
แฝงโค้ดอันตรายหลังได้รับความไว้วางใจ
สองปฏิบัติการหลัก
RCE Backdoor (300,000 ผู้ใช้)
Spyware Empire (4 ล้านผู้ใช้)
จุดอ่อนของระบบตรวจสอบ
ตรวจสอบเฉพาะตอนส่งครั้งแรก
ไม่เฝ้าระวังพฤติกรรมหลังอัปเดต
คำเตือนต่อผู้ใช้และองค์กร
ส่วนขยายที่มีเรตติ้งสูงก็อาจเป็นอันตราย
ข้อมูลส่วนตัวและ API keys เสี่ยงถูกขโมย
ต้องใช้แนวทาง Zero-Trust และตรวจสอบพฤติกรรมอย่างต่อเนื่อง
https://hackread.com/shadypanda-attack-spied-chrome-edge-users/
🦹♀️ กลุ่มแฮกเกอร์ ShadyPanda ใช้เวลา 7 ปีในการสร้างความไว้วางใจผ่านส่วนขยาย Chrome และ Edge
นักวิจัยจาก Koi Security เปิดเผยว่า ShadyPanda ใช้กลยุทธ์ “long game” โดยอัปโหลดส่วนขยายที่ดูปกติ เช่น Clean Master และ WeTab ให้ผู้ใช้ติดตั้ง เมื่อได้รับความไว้วางใจและยอดดาวน์โหลดสูงแล้ว จึงปล่อยอัปเดตที่แฝงโค้ดอันตราย ทำให้สามารถสอดแนมและควบคุมเครื่องได้โดยตรง
⚙️ สองปฏิบัติการหลัก
🪲 Remote Code Execution (RCE) Backdoor: ส่วนขยายที่เคยได้รับการรับรองจาก Google ถูกเปลี่ยนเป็น backdoor สามารถรันโปรแกรมใด ๆ บนเครื่องได้โดยไม่รู้ตัว (กระทบผู้ใช้กว่า 300,000 คน)
🪲 Spyware Empire: ส่วนขยายอย่าง WeTab (3 ล้านดาวน์โหลด) ถูกใช้เก็บข้อมูลทุก URL, คำค้นหา และแม้แต่การคลิกเมาส์ โดยส่งข้อมูลไปยังเซิร์ฟเวอร์ในจีน (กระทบผู้ใช้กว่า 4 ล้านคน)
🔒 จุดอ่อนของระบบตรวจสอบ
การโจมตีครั้งนี้เผยให้เห็นว่า ตลาดส่วนขยายของ Chrome และ Edge เน้นตรวจสอบตอนส่งครั้งแรก แต่ไม่เฝ้าระวังพฤติกรรมหลังจากนั้น ทำให้ ShadyPanda สามารถสร้างฐานผู้ใช้มหาศาลก่อนจะปล่อยการโจมตีจริงในปี 2024
🌐 ความเห็นจากผู้เชี่ยวชาญ
🧑🏫 Randolph Barr (Cequence Security): ย้ำว่ากลยุทธ์นี้เป็นหนึ่งใน supply chain attack ที่ยาวนานและซับซ้อนที่สุด
🧑🏫 Diane Downie (Black Duck): เตือนว่ามัลแวร์เลียนแบบโค้ดปกติได้ยากต่อการตรวจจับ และองค์กรควรใช้ Zero-Trust
🧑🏫 Trey Ford (Bugcrowd): ชี้ว่าการตรวจสอบส่วนขยายควรเน้นพฤติกรรมต่อเนื่อง ไม่ใช่แค่การส่งครั้งแรก
📌 สรุปประเด็นสำคัญ
✅ รายละเอียดการโจมตี ShadyPanda
➡️ ใช้ส่วนขยาย Chrome/Edge ที่ดูปกติ
➡️ แฝงโค้ดอันตรายหลังได้รับความไว้วางใจ
✅ สองปฏิบัติการหลัก
➡️ RCE Backdoor (300,000 ผู้ใช้)
➡️ Spyware Empire (4 ล้านผู้ใช้)
✅ จุดอ่อนของระบบตรวจสอบ
➡️ ตรวจสอบเฉพาะตอนส่งครั้งแรก
➡️ ไม่เฝ้าระวังพฤติกรรมหลังอัปเดต
‼️ คำเตือนต่อผู้ใช้และองค์กร
⛔ ส่วนขยายที่มีเรตติ้งสูงก็อาจเป็นอันตราย
⛔ ข้อมูลส่วนตัวและ API keys เสี่ยงถูกขโมย
⛔ ต้องใช้แนวทาง Zero-Trust และตรวจสอบพฤติกรรมอย่างต่อเนื่อง
https://hackread.com/shadypanda-attack-spied-chrome-edge-users/
0 Comments
0 Shares
16 Views
0 Reviews
Thai