สรุปสั้น

แคมเปญฟิชชิงใหม่กำลังมุ่งเป้านักพัฒนา Chrome extension ด้วยประกาศลบเนื้อหาละเมิดลิขสิทธิ์ปลอมที่ดูเหมือนข้อความทางการจาก Chrome Web Store โดยสแกมนี้หลอกให้นักพัฒนากรอก credential Google บนหน้า sign-in ปลอม ทำให้ทั้งบัญชีของพวกเขาและผู้ใช้ extension ตกอยู่ในความเสี่ยงร้ายแรง เนื่องจาก browser extension กลายเป็นส่วนหนึ่งของการใช้งานอินเทอร์เน็ตประจำวัน การโจมตีแบบเจาะจงนี้จึงยิ่งมองข้ามได้ยากขึ้น

การโจมตีทำงานด้วยการส่งประกาศที่อ้างว่า extension ของเหยื่อกำลังจะถูกลบเพราะละเมิดลิขสิทธิ์ ข้อความให้เวลาเหยื่อเพียง 48 ชั่วโมงในการอุทธรณ์ สร้างความรู้สึกเร่งด่วนที่ผลักให้รีบลงมือ ทุกอย่างบนหน้าดูสมจริง ทั้งเลขร้องเรียน นาฬิกานับถอยหลังแบบเรียลไทม์ และเลย์เอาต์ที่เลียนแบบการสื่อสารของ Google โดยนักวิเคราะห์จากบริษัท Malwarebytes ระบุว่าสแกมนี้ซับซ้อนพอที่จะหลอกแม้แต่นักพัฒนาที่มีความรู้ทางเทคนิค

หน้าสแกมโฮสต์บนโดเมนชื่อ dmca-chrome-extensions[.]click ซึ่งไม่มีความเชื่อมโยงกับ Google แต่นำเสนอตัวเองว่าเป็น “Chrome Web Store Developer Policy Center” โดยใช้แบรนด์จริงของ Google ผลที่ตามมาขยายเกินตัวนักพัฒนา เพราะหากผู้โจมตีเข้าถึงบัญชีนักพัฒนาได้ ก็สามารถ push อัปเดตอันตรายไปยัง extension ที่ผู้ใช้หลายพันคนติดตั้งไว้แล้ว

รายละเอียดข่าว

เว็บไซต์ Cyber Security News รายงานเมื่อวันที่ 4 มิถุนายน 2569 ว่าบริษัท Malwarebytes พบแคมเปญฟิชชิงที่ใช้ประกาศลิขสิทธิ์ Chrome Web Store ปลอมหลอกนักพัฒนา extension เพื่อขโมยบัญชี Google

สิ่งที่ทำให้แคมเปญนี้โดดเด่นคือการใช้ประโยชน์จากความไว้วางใจได้อย่างแนบเนียน มันไม่ได้อาศัยคำขู่คลุมเครือหรืออีเมลทั่วไป แต่ดึงรายละเอียดจริงที่เปิดเผยสาธารณะเกี่ยวกับ extension ของเหยื่อมาทำให้ประกาศปลอมรู้สึกเป็นส่วนตัวและถูกต้อง โดยเมื่อนักพัฒนากรอก extension ID บนหน้าสแกม เว็บจะดึงชื่อจริง ไอคอน และรายการบน Chrome Web Store ของ extension นั้นมาแสดงทันที ประกอบกับเลขร้องเรียนปลอม “วันที่ได้รับ” และนาฬิกานับถอยหลังแบบเรียลไทม์

หน้าต่าง sign-in ปลอมที่ปรากฏหลังคลิก “Continue to verification” เป็นหนึ่งในส่วนที่น่าเชื่อที่สุดของการโจมตี มันแสดงรูปกุญแจ แถบ title และที่อยู่ว่า accounts.google.com แต่จริง ๆ เป็นเพียงกราฟิกที่ฝังอยู่ในหน้าสแกม ผู้โจมตียังปรับแต่งรูปลักษณ์ตามว่าเหยื่อใช้ Mac หรือ Windows เพื่อให้ดูคุ้นเคยยิ่งขึ้น วิธีสังเกตอย่างหนึ่งคือลองลากหน้าต่างออกนอกขอบเบราว์เซอร์ หน้าต่างจริงจะเลื่อนได้อิสระ ขณะที่หน้าต่างปลอมจะหยุดที่ขอบและหายไปเมื่อย่อเบราว์เซอร์

ผลกระทบจากการตกเป็นเหยื่อขยายไกลเกินตัวนักพัฒนา เพราะหากผู้โจมตีเข้าถึงบัญชีได้ ก็สามารถ push อัปเดตอันตรายไปยัง extension ที่ผู้ใช้หลายพันคนติดตั้งไว้ บัญชีเดียวที่ถูกยึดจึงอาจกระทบคนจำนวนมากที่ไม่มีเหตุให้สงสัยว่ามีอะไรผิดปกติ

Hackers use fake Chrome Web Store copyright notices to steal Google credentials

วิธีการโจมตี

จุดเริ่มต้นคือการส่งประกาศ DMCA ปลอมที่อ้างว่า extension ของนักพัฒนากำลังจะถูกลบเพราะละเมิดลิขสิทธิ์ พร้อมกำหนดเวลา 48 ชั่วโมงให้อุทธรณ์ ซึ่งเป็นกลยุทธ์สร้างความเร่งด่วน (urgency) ที่ทำให้เหยื่อรีบลงมือโดยไม่ตรวจสอบ

เมื่อเหยื่อไปยังหน้าสแกนบนโดเมน dmca-chrome-extensions[.]click และกรอก extension ID เว็บจะดึงข้อมูลสาธารณะจริงของ extension (ชื่อ ไอคอน รายการบน store) มาแสดงควบคู่กับเลขร้องเรียนปลอมและนาฬิกานับถอยหลัง ทำให้ภัยรู้สึกจริง จากนั้นเมื่อคลิก Continue to verification จะปรากฏหน้าต่าง sign-in ปลอมที่จริง ๆ เป็นเพียงภาพกราฟิกฝังในหน้า แต่แสดงกุญแจและที่อยู่ accounts.google.com เพื่อหลอกให้กรอกรหัสผ่าน

เมื่อเหยื่อกรอก credential Google ผู้โจมตีก็ได้บัญชีนักพัฒนาไป ซึ่งเปิดทางให้ push อัปเดตอันตรายไปยัง extension ที่มีผู้ใช้จำนวนมาก กลายเป็นการโจมตี supply chain ที่กระทบผู้ใช้ปลายทางในวงกว้าง โดยจุดสังเกตสำคัญคือ address bar จริงของเบราว์เซอร์จะยังแสดงโดเมนสแกม ไม่ใช่ accounts.google.com

ผลกระทบต่อไทย

นักพัฒนา Chrome extension ในไทยมีจำนวนมาก ทั้งที่ทำเครื่องมือส่วนตัว เครื่องมือองค์กร และผลิตภัณฑ์เชิงพาณิชย์ ทำให้แคมเปญฟิชชิงที่มุ่งเป้านักพัฒนา extension เป็นภัยโดยตรง โดยเฉพาะการใช้กลยุทธ์ DMCA ปลอมที่อาศัยความกลัวว่า extension จะถูกลบ

ความอันตรายที่แท้จริงคือผลกระทบแบบ supply chain เพราะหากบัญชีนักพัฒนาไทยถูกยึด ผู้โจมตีสามารถ push อัปเดตอันตรายไปยังผู้ใช้ extension นั้นทั่วโลก รวมถึงผู้ใช้ไทยที่ติดตั้งไว้ กลายเป็นการแพร่มัลแวร์ผ่านช่องทางที่ผู้ใช้ไว้ใจ

เทคนิคหน้า sign-in ปลอมที่ฝังเป็นกราฟิกและเลียน accounts.google.com ยังเป็นภัยต่อผู้ใช้ Google ทั่วไปในไทยที่อาจไม่ทันสังเกต address bar ทำให้การสร้างความตระหนักเรื่องการตรวจสอบ URL จริงก่อนกรอกรหัสผ่านเป็นเรื่องสำคัญ

คำแนะนำ

  1. อย่าคลิกลิงก์ในอีเมลแจ้งเตือนแล้วเชื่อว่าจริง — ประกาศจริงเกี่ยวกับ extension จะปรากฏใน Chrome Web Store developer dashboard ไม่ใช่เว็บภายนอก
  2. ระวังข้อความที่ใช้นาฬิกานับถอยหลัง/เส้นตาย — กระบวนการนโยบายที่ถูกต้องจะไม่เร่งรัดให้ลงมือทันที
  3. ตรวจ address bar จริงก่อนกรอกรหัสผ่านเสมอ — โดเมนสแกมจะยังปรากฏแทน accounts.google.com
  4. เปิด 2FA ด้วย passkey หรือ hardware key — เพื่อให้รหัสผ่านที่ถูกขโมยอย่างเดียวไม่เพียงพอต่อการเข้าถึง
  5. หากกรอก credential ไปแล้ว — เปลี่ยนรหัสผ่าน Google ทันที sign out ทุก session และตรวจสอบ Chrome Web Store listing ว่ามีเวอร์ชันที่ไม่ได้เผยแพร่เองหรือไม่
  6. บล็อกโดเมน dmca-chrome-extensions[.]click — นำเข้าระบบป้องกัน

Indicators of Compromise (IoCs)

ประเภทตัวบ่งชี้คำอธิบาย
Domaindmca-chrome-extensions[.]clickหน้าฟิชชิง Chrome Web Store ปลอม ใช้เก็บ credential นักพัฒนา Google

หมายเหตุ: โดเมนถูก defang โดยเจตนา (เช่น [.]) ให้ re-fang เฉพาะในแพลตฟอร์ม threat intelligence ที่ควบคุมได้ เช่น MISP, VirusTotal หรือ SIEM

แหล่งอ้างอิง