นักวิจัยจาก Trend Micro ได้ค้นพบเอ็กซ์เทนชั่นอันตรายที่อยู่บนบราวเซอร์ฮิตทั้ง Chrome และ Edge ที่คอยเจาะประตูหลังเพื่อขโมยข้อมูลจากบราวเซอร์ไปพร้อมๆ กับแอบส่องกิจกรรมของผู้ใช้ โดยพบข้อมูลสองเปย์โหลดที่เคยถูกอัพขึ้นไปทดสอบบนเว็บ VirusTotal ซึ่งทั้งที่มาและชื่อไฟล์ทำให้เชื่อว่าตัวการเป็นกลุ่มแฮ็กเกอร์ในประเทศเล็กๆ อย่างมอลโดว่า
เมื่อเผลอติดตั้งแล้ว ตัวโหลดข้อมูลที่คอยดาวน์โหลดเปย์โหลดของมัลแวร์นี้นั้นอยู่ในรูปของโค้ดจาวาและ NodeJS (ชื่อ TROJ_SPYSIVIT.Aและ JAVA_ SPYSIVIT.A) ซึ่งมีทั้งทูลรีโมตอย่าง VisIT RAT และเอ็กซ์เทนชั่นที่เป็นประตูหลัง โดยจะเริ่มฝังตัวลงในเครื่องขณะที่ตัวโหลดจะรันไฟล์จาวาสคริปต์ที่อยู่ในไฟล์ ZIP
Trend Micro พบการแพร่กระจายมัลแวร์นี้ผ่านเมล์สแปมในรูปของไฟล์แนบ มัลแวร์ทั้งส่วนของประตูหลังและ RAT นี้พบอยู่ในชื่อ JS_DLOADR และ W2KM_DLOADR และประตูหลังนี้จะฝังบนเว็บบราวเซอร์เพื่อคอยเปิดทางให้แฮ็กเกอร์ดูดข้อมูลบนเครื่องต่อไป
ปัจจุบันทั้งไมโครซอฟท์และกูเกิ้ลทราบรายละเอียดและทำงานร่วมกับ Trend Micro ในการแก้ไขและป้องกันการฝังตัวของเอ็กซ์เทนชั่นอันตรายแบบนี้อีกในอนาคต นอกจากนี้ Trend Micro ยังแนะนำให้องค์กรและผู้ใช้ทั่วไปเลือกใช้ระบบความปลอดภัยที่อีเมล์เกตเวย์ อย่างเช่นโซลูชั่น Trend Micro Hosted Email Security เป็นต้น
ที่มา : Hackread
