สรุปสั้น
บริษัท Microsoft ได้ปิดปฏิบัติการส่วนขยายอันตรายที่ดำเนินมายาวนานบน Edge Add-ons store ซึ่งซ่อน payload ไว้ภายในไฟล์ภาพและฟอนต์ธรรมดา แล้วตื่นขึ้นทำงานหลังการติดตั้งหลายวันเพื่อขโมย credential และทำการฉ้อโกงโฆษณา (ad fraud) Microsoft เรียกแคมเปญนี้ว่า StegoAd ซึ่งเป็นการผสมคำระหว่าง steganography (การซ่อนข้อมูล) กับ adware และเชื่อมโยงส่วนขยายทั้ง 119 ตัวเข้ากับผู้โจมตีรายเดียวที่ระบุว่าใช้งานมาอย่างน้อยตั้งแต่ปี 2021 ส่วนขยายเหล่านี้เป็นประเภทที่ผู้คนติดตั้งโดยไม่คิดมาก เช่น ad blocker, VPN, ตัวแปลภาษา และตัวดาวน์โหลดวิดีโอ โดยแต่ละตัวทำงานได้จริงและมีรีวิวสะสม โค้ดอันตรายจะอยู่เฉย ๆ จนกว่าจะผ่านการตรวจสอบหลบเลี่ยงหลายชั้น ซึ่งเป็นเหตุผลที่มันแฝงอยู่ในสโตร์ได้นานหลายปี เมื่อรวมกันแล้วส่วนขยายทั้ง 119 ตัวมีฐานการติดตั้งสูงสุดถึง 2.6 ล้านราย แม้ Microsoft จะระบุชัดว่านี่คือเพดานสูงสุด ไม่ใช่จำนวนเหยื่อจริง เนื่องจากการหน่วงเวลาหลายวัน การตรวจสอบฝั่งเซิร์ฟเวอร์ และการตั้งเงื่อนไขให้ payload ทำงานเพียง 10% ในบางเวอร์ชัน ทำให้ payload ไม่เคยทำงานสำหรับการติดตั้งจำนวนมาก
รายละเอียดข่าว
เว็บไซต์ The Hacker News รายงานเมื่อวันที่ 29 มิถุนายน 2569 ว่าบริษัท Microsoft ได้ถอดส่วนขยาย Edge อันตรายจำนวน 119 ตัว และระงับบัญชีนักพัฒนากว่า 90 บัญชีที่อยู่เบื้องหลัง โดยรายชื่อ extension ID ทั้งหมดอยู่ในรายงานทางเทคนิคของบริษัท
เทคนิคที่เป็นที่มาของชื่อแคมเปญคือ steganography หรือการซ่อนโค้ดที่รันได้ไว้ภายในไฟล์ที่ดูปกติทุกประการ เวอร์ชันแรก ๆ จะต่อท้ายโค้ด JavaScript หลังเครื่องหมาย IEND ของไอคอน PNG ทำให้ภาพแสดงผลได้ตามปกติทุกที่ ขณะที่ยังพก payload ที่ตัวสแกนแบบ static ตรวจไม่พบ เมื่อระบบตรวจจับตามทัน ผู้โจมตีก็ย้ายไปใช้ภาพแบบ WebP แล้วต่อด้วยไฟล์ฟอนต์ WOFF2 โดยซ่อนโค้ดไว้ในช่วง glyph ที่อ่านได้เหมือนตัวอักษรเอเชียหรือ metadata ของฟอนต์ Microsoft ระบุว่าการใช้ steganography ในระดับนี้ถือว่าหายากในระบบนิเวศส่วนขยายเบราว์เซอร์
ส่วนขยายบางเวอร์ชันที่มีผลกระทบสูงไม่ได้ส่ง payload มากับตัวด้วยซ้ำ แต่จะดึงภาพที่ดูปกติจากเซิร์ฟเวอร์สั่งการ (C2) แล้วถอดรหัสผ่านหลายชั้น ทั้งการสลับตัวพิมพ์ การสลับตัวเลข Base64 และ XOR จากนั้นจึงตรวจสอบกับลายเซ็นก่อนรัน เซิร์ฟเวอร์ C2 จะส่งไฟล์จริงให้เฉพาะคำขอที่ผ่านการตรวจลายนิ้วมือและ User-Agent เท่านั้น ส่วนใครที่พยายามตรวจสอบโดยตรง รวมถึงนักวิจัย จะได้รับเพียงการตอบกลับหลอก ๆ ที่ว่างเปล่า นอกจากนี้ส่วนขยายยังคอยจับตาการเปิด DevTools และจะยืดระยะเวลาการอยู่เฉยออกไปหากพบว่ามีนักวิเคราะห์กำลังตรวจสอบอยู่
วิธีการโจมตี
ความเสียหายที่มองเห็นได้คือการฉ้อโกงโฆษณา ทั้งการแทรกโฆษณา การยึดค่าคอมมิชชัน affiliate บน Amazon, eBay และ AliExpress รวมถึงการเปลี่ยนเส้นทางการค้นหา ซึ่งล้วนดูดเงินขณะทำให้ประสบการณ์ท่องเว็บแย่ลง แต่การวิเคราะห์ payload ที่ดึงมาได้ของ Microsoft พบอะไรที่ลึกกว่านั้นมาก payload ดังกล่าวมี backdoor สำหรับรันโค้ดทางไกล (RCE) ที่รัน JavaScript ใด ๆ ก็ได้ตามที่ถูกส่งมาจากเซิร์ฟเวอร์ อีกทั้งยังขโมยรหัส Google และรหัสยืนยันตัวตนปัจจัยที่สอง (2FA) ตอนล็อกอิน เก็บข้อมูลล็อกอินผู้ดูแล WordPress และขโมย cookie จำนวนมากเพื่อใช้ hijack เซสชัน
Microsoft ระบุว่าพบ Google Analytics tracking ID จำนวน 7 รายการที่ดูเหมือนทำหน้าที่เป็น telemetry ลับ ทำให้ผู้ปฏิบัติการมีแดชบอร์ดดูสถานะแคมเปญแบบเกือบเรียลไทม์ผ่านโครงสร้างพื้นฐานของ Google เอง ส่วนโครงสร้างเบื้องหลังก็สอดรับกับความทะเยอทะยาน Microsoft นับโดเมน C2 ได้มากกว่า 10 โดเมนพร้อมระบบสำรองอัตโนมัติ ผู้โจมตี proxy ทราฟฟิกผ่าน Cloudflare Workers และใช้ GitHub Pages เป็นที่เก็บ beacon มีเฟรมเวิร์กแบบ polymorphic ทำงานครอบคลุมส่วนขยายราว 66 ตัวภายใต้รูปแบบการตั้งชื่อกว่า 15 แบบ และปฏิบัติการนี้ได้ย้ายจาก Manifest V2 ไปสู่ V3 ตามการเปลี่ยนแปลงของแพลตฟอร์ม
Microsoft ยังไม่ได้ระบุชื่อผู้โจมตี แต่ StegoAd ดูเหมือนเป็นโฉมหน้าใหม่ของแคมเปญที่รู้จักกันอยู่แล้ว มากกว่าจะเป็นแคมเปญใหม่ เพราะ payload ขโมย credential ส่งข้อมูลออกไปยังโดเมน mitarchive.info ซึ่งบริษัท Koi Security เชื่อมโยงกับ DarkSpectre อันเป็นปฏิบัติการจีนที่บริษัทเคยโยงเข้ากับแคมเปญส่วนขยาย ShadyPanda และ GhostPoster เมื่อเดือนธันวาคม การเชื่อมโยงยังไปไกลกว่าแค่โดเมน เพราะ StegoAd ซ่อนโค้ดไว้ในไอคอนของส่วนขยายเอง ซึ่งเป็นวิธีเดียวกับที่ GhostPoster ใช้เมื่อหลายเดือนก่อน และทั้งสองยังใช้ชื่อส่วนขยายร่วมกัน เช่น Ads Block Ultimate
ผลกระทบต่อไทย
ส่วนขยายเบราว์เซอร์ประเภท ad blocker, VPN และตัวแปลภาษา เป็นที่นิยมอย่างมากในหมู่ผู้ใช้ชาวไทย ทั้งผู้ใช้ทั่วไปและในองค์กร เนื่องจากแคมเปญ StegoAd แฝงอยู่ในส่วนขยายที่ทำงานได้จริงและมีรีวิวดี ผู้ใช้ไทยจำนวนมากจึงอาจติดตั้งโดยไม่รู้ตัว ความเสี่ยงที่ตามมาคือการถูกขโมยรหัส Google รหัส 2FA และ cookie ซึ่งเปิดทางให้ผู้โจมตียึดบัญชีอีเมล บัญชีองค์กร และระบบหลังบ้าน WordPress ที่เว็บไซต์ไทยจำนวนมากใช้งาน นอกจากนี้ความสามารถ RCE ในตัวยังทำให้เครื่องที่ติดมัลแวร์กลายเป็นจุดเริ่มต้นของการบุกรุกที่ลึกขึ้น องค์กรไทยที่ไม่ได้ควบคุมการติดตั้งส่วนขยายบนเบราว์เซอร์ของพนักงานจึงควรตรวจสอบและกำหนดนโยบายโดยด่วน
คำแนะนำ
ผู้ใช้และผู้ดูแลระบบควรเปิด edge://extensions แล้วเทียบส่วนขยายที่ติดตั้งกับรายชื่อในรายงานทางเทคนิคของ Microsoft หากพบว่าตรงกัน หรือ Edge ถอดออกให้อัตโนมัติ ให้ถือว่าเบราว์เซอร์ถูกบุกรุกแล้ว และควรเปลี่ยนรหัสผ่านของ Google, WordPress, บัญชีธนาคาร และบัญชีสำคัญอื่น ๆ ตรวจสอบกิจกรรมการล็อกอินล่าสุด และเปิดใช้การยืนยันตัวตนสองปัจจัยที่แข็งแรง โดยกุญแจความปลอดภัยแบบฮาร์ดแวร์ (hardware security key) ทนทานต่อการขโมย credential ลักษณะนี้ได้ดีกว่ารหัส SMS มาก องค์กรควรกำหนดนโยบายอนุญาตเฉพาะส่วนขยายที่ผ่านการตรวจสอบ (extension allowlist) และนำ indicator of compromise ที่ Microsoft เผยแพร่ไปใช้ตรวจสอบทั้งบน Chrome, Firefox และเบราว์เซอร์ตระกูล Chromium อื่น ๆ
