ลองนึกภาพ ตอนคุณดาวน์โหลด Extension บน Chrome หรือ Edge เพราะต้องการโหลดคลิป TikTok แบบไม่ให้มีลายน้ำ และก็บังเอิญใช้งานได้เป็นอย่างดี ไม่มีอะไรผิดปกติ ผ่านไปหลายเดือนก็ยังดีอยู่ แต่เบื้องหลังกับพบภัยที่คุณไม่รู้ตัว ด้วยโจรไซเบอร์กำลังสร้าง “ลายนิ้วมือดิจิทัล” ของคุณไว้อย่างเงียบ ๆ ตลอดทุกๆวัน ที่ผ่านไป
นี่ไม่ใช่หนัง Sci-Fi หรือ Horror ที่มีเนื้อเรื่องชวนขนลุก แต่นักวิจัยจาก LayerX เพิ่งเปิดเผยรูปแบบการโจมตีใหม่ โดยให้ชื่อว่า StealTok ซึ่งเป็นหนึ่งในตัวอย่างที่ชัดเจนที่สุดของภัยคุกคามยุคใหม่ที่เป็น “Long Game Attack” หรือการแอบซุ่ม ซ่อนตัวเป็นระยะเวลานานก่อนเริ่มโจมตี
StealTok เป็นรูปแบบการโจมตีของมัลแวร์ที่ซ่อนตัวอยู่ใน Browser Extension อย่างน้อย 12 Extension บน Google Chrome และ Microsoft Edge โดยทุกอันบอกว่าตัวเองเป็น tools ในการดาวน์โหลดวิดีโอ TikTok แต่จริงๆแล้ว แอบฝังการสอดแนมและขโมยข้อมูลของผู้ที่ Download มาใช้ โดยรูปแบบการโจมตีนี้มีมานานกว่า 1 ปี และกระทบผู้ใช้มากกว่า 130,000 รายทั่วโลก โดยมีผู้ที่ยังคงติดตั้ง Extension เหล่านี้ค้างอยู่อีกกว่า 12,500 ราย
สิ่งที่ทำให้ StealTok น่ากลัวเป็นพิเศษคือสิ่งที่แฮกเกอร์ทำ โดยมีขั้นตอนคือ
- ช่วงแรกจะซุ่มเงียบ ในช่วง 6-12 เดือนแรก Extension เหล่านี้จะทำงานปกติทุกอย่าง ไม่มีอะไรที่น่าสงสัย รอจนสะสมฐานจำนวนผู้ใช้มากพอ แล้วค่อยแสดงตัวออกมา
- Remote Configuration ที่หลบเลี่ยงการตรวจสอบ Extension ถูกสร้างบน Manifest V3 (MV3) ที่อนุญาตให้รับคำสั่งจาก C2 Server ของแฮกเกอร์ได้แบบ Real-time โดยไม่ต้องให้ผู้ใช้กด Update เมื่อถึงเวลา คำสั่ง “เปิดโหมดสอดแนม” ก็จะถูกส่งมาจากระยะไกลได้ทันที
- Rebranding และกลับมาใหม่ หากถูกตรวจพบและโดนเอาลงจาก Store ก็แค่เปลี่ยนชื่อ เปลี่ยนหน้าตา แล้วอัปโหลดซ้ำ เพราะ Core Code เดิมยังอยู่ครบ
ขโมยอะไรบ้าง ที่แน่ๆไม่ใช่แค่พาสเวิร์ด
เมื่อ Extension เข้าสู่โหมดสอดแนม มันจะเริ่มสร้าง Digital Fingerprinting ของผู้ใช้แต่ละราย ซึ่งครอบคลุมข้อมูลที่ละเอียดอ่อนหลายอย่าง เช่น
- Browsing History และพฤติกรรมการใช้งาน รวมถึงเนื้อหาที่ถูกดาวน์โหลด
- ภาษาของเครื่อง Timezone และแม้แต่สถานะ Battery ของอุปกรณ์ ซึ่งใช้เพิ่มความแม่นยำในการ Tracking
- Keystroke Logging และการขโมย Session Token สำหรับการ Login เข้าระบบ
เมื่อรวมข้อมูลทั้งหมดนี้เข้าด้วยกัน แฮกเกอร์จะสามารถระบุตัวตนผู้ใช้ได้อย่างแม่นยำ เข้าถึงบัญชีได้ และขายข้อมูลในตลาด Dark Web ทำกำไรต่อ
ทำไม Endpoint Security อย่างเดียวถึงไม่พอ
StealTok แสดงให้เห็นว่า Blind Spot ของการรักษาความปลอดภัยแบบดั้งเดิม Extension เหล่านี้ถูกติดตั้งผ่าน Chrome Web Store อย่างถูกต้องตามกฎหมาย ผ่าน Code Review เบื้องต้น และไม่ได้แสดงประพฤติตัวน่าสงสัยในช่วงแรก Antivirus ทั่วไปจึงมองไม่เห็น Firewall แบบ Traditional ที่แค่ดู IP หรือ Port ก็ตรวจจับไม่ได้
สิ่งที่ต้องการคือการตรวจสอบที่ระดับ Traffic และ Behavior ในแบบ Real-time ไม่ใช่แค่รอให้มัลแวร์แสดงตัวก่อนแล้วค่อยจัดการ
ภัยคุกคามไม่รอ เวลาก็ไม่รอเช่นกัน
กรณี StealTok บอกอะไรเราได้มาก ผู้ใช้ 130,000 ราย ไม่ได้ “ประมาทหรือเลินเล่อ” พวกเขาก็แค่ใช้ Extension ที่ดูเหมือนถูกกฎหมาย ผ่านการตรวจสอบ และทำงานได้ดีจริง ๆ ในช่วงแรก แต่นั่นก็ไม่ได้ทำให้พวกเขารอดพ้นจากการถูกสอดแนมมานานกว่าหนึ่งปี
คำถามไม่ใช่ว่า “องค์กรของคุณจะโดนโจมตีไหม?” แต่คือ “เมื่อโดนโจมตีแล้ว คุณจะรู้ทันไหม?”
FWaaS by ProSpace ไม่ใช่แค่ Firewall แต่คือบริการ Visibility Layer ที่ช่วยให้ทีม Security ขององค์กรมองเห็นสิ่งที่ซ่อนอยู่ ก่อนที่มันจะกลายเป็นความเสียหาย ไม่ว่าจะเป็น Browser Extension ที่หันมาเป็นสายลับ, Malware ที่ส่ง Data ออกผ่าน Encrypted Traffic หรือ IoT Device ที่ถูกยึดเป็นฐานในการโจมตีภายใน
เพราะภัยคุกคามแบบ StealTok บอกเราชัดเจนแล้วว่า แฮกเกอร์มีความอดทน และเวลาอยู่ข้างพวกเขาเสมอ และจะเกิดความเสียหายมากถ้าหากเราไม่มีระบบการป้องกันที่ดีพอ
ระบบเสริม เพิ่มความปลอดภัย
สนใจยกระดับความปลอดภัยเครือข่ายขององค์กรด้วย FWaaS by ProSpace ติดต่อทีมผู้เชี่ยวชาญของเราได้ที่ โทร : 085-449-7373 หรือ Email SALES@PROSPACE.SERVICE หรือทำนัดเราเพื่อรับการปรึกษาฟรีได้เลย
