Princess Cruises บริษัทเดินเรือสำราญได้ออกแถลงการณ์เรื่องข้อมูลส่วนตัวรั่วไหล โดยทางบริษัทระบุว่าในช่วงปลายเดือนพฤษภาคมปีที่แล้วทางบริษัทได้ตรวจพบกิจกรรมที่น่าสงสัยบนระบบเครือข่ายจึงเริ่มสืบสวนผลกระทบจากเหตุการณ์ดังกล่าว

ทางบริษัทเรือสำราญระบุว่า 11 เมษายนถึง 23 กรกฎาคมปีที่แล้ว ทางบริษัทตรวจพบผู้ที่ไม่ได้รับอนุญาตเข้าถึงบัญชีอีเมลของพนักงานบริษัทบางคนที่มีข้อมูลส่วนตัวหลาย ๆ อย่าง ตั้งแต่ข้อมูลของพนักงาน, ลูกเรือ และแขกที่เข้าพัก

Avast ระบุว่าได้รับแจ้งจากนักวิจัยและ Google Project Zero เรื่องการค้นพบช่องโหว่ระดับร้ายแรงในตัวรันจาวาสคริปต์ (JavaScript interpreter) บนอีมูเลเตอร์ในซอฟต์แวร์แอนตีไวรัสบนวินโดวส์ ที่เปิดช่องให้คนร้ายสามารถรันโค้ดทางไกลและเข้าถึงสิทธิระดับแอดมินได้

Travis Ormandy จาก Project Zero วิจารณ์การออกแบบของ Avast ว่ารันตัวอีมูเลเตอร์ในสิทธิ์ระดับสูง โดยไม่มีการป้องกันด้วย sandbox แบบเดียวกับในเบราว์เซอร์ และมาตรการลดความเสี่ยงอื่นก็ทำได้แย่

ทำให้ล่าสุด Avast ระบุว่าสั่งระงับการใช้งานอีมูเลเตอร์ดังกล่าวให้กับผู้ใช้งานทั่วโลกแล้ว โดยยืนยันการใช้งานของผู้ใช้งานทุกอย่างจะยังเหมือนเดิม

ไมโครซอฟต์ออกแพตช์ KB4551762 เพื่อแก้ปัญหา CVE-2020-0796 ที่เป็นช่องโหว่ของ SMBv3 ซึ่งมีรายงานออกมาเมื่อวานนี้ โดยเป็นช่องโหว่ให้รันโค้ดระยะไกล มีระดับความร้ายแรงวิกฤติ

ระบบปฏิบัติการที่ได้รับผลกระทบคือ Windows เวอร์ชันใหม่ ๆ ได้แก่ Windows 10 เวอร์ชัน 1903 และ 1909 รวมทั้ง Windows Server 2019 เวอร์ชัน 1903 และ 1909 เช่นกัน

เดิมทีไมโครซอฟต์ไม่มีแผนออกแพตช์รายการนี้ในเดือนมีนาคม แต่เนื่องจากมีรายงานช่องโหว่เผยแพร่ออกมาสู่สาธารณะก่อน แพตช์นี้จึงออกมาโดยเร็วที่สุด

ที่มา: ZDNet

ไมโครซอฟท์แจ้งเตือนช่องโหว่ CVE-2020-0796 ที่เป็นช่องโหว่ของ SMBv3 กระทบวินโดวส์รุ่นใหม่ๆ อย่าง Windows 10 และ Windows Server เวอร์ชั่น 1903 และ 1909 เป็นช่องโหว่รันโค้ดระยะไกลความร้ายแรงระดับวิกฤติ โดยยังไม่มีแพตช์

ที่น่ากังวลเป็นพิเศษ คือ Cisco Talos ออกรายงานช่องโหว่นี้แต่ลบไปภายหลัง รายงานระบุว่าช่องโหว่นี้เปิดทางสร้าง worm ได้ (wormable) โดยช่องโหว่ในกลุ่มนี้ที่ผ่านมามักร้ายแรงจนไมโครซอฟท์ออกแพตช์พิเศษให้ แม้แต่วินโดวส์รุ่นที่หมดอายุซัพพอร์ตไปแล้วก็ตาม อย่างไรก็ดีรายงานของไมโครซอฟท์เองไม่ได้ระบุว่าเป็นช่องโหว่ wormable แต่อย่างใด

กลุ่มนักวิจัยร่วมกันเสนอช่องโหว่ Load Value Injection (LVI) ที่ของซีพียูอินเทล (อาจกระทบ ARM และ IBM ด้วย) โดยช่องโหว่ทำให้แฮกเกอร์ที่สามารถรันโค้ดในเครื่อง อ่านค่าจากหน่วยความจำที่ไม่ได้รับอนุญาต เช่น การอ่านค่าจากเคอร์เนล, หรืออ่านค่าจาก SGX ที่รักษาความลับระบบ

LVI อาศัยการล่อให้ซีพียูอ่านค่าหน่วยความจำมุ่งร้าย หากเงื่อนไขโค้ดของเหยื่อครบถ้วนก็จะสามารถส่งข้อมูลออกไปยังหน่วยความจำของแฮกเกอร์ได้

วันนี้ Mozilla ปล่อย Firefox 74 อย่างเป็นทางการแล้วทุกแพลตฟอร์ม โดยฟีเจอร์สำคัญในรอบนี้คือเพิ่มกฎสำหรับ add-on ที่เข้มงวดขึ้น รวมถึงปิดการใช้งาน TLS 1.0 และ TLS 1.1 เป็นค่าเริ่มต้น

ในเรื่อง add-on ถือเป็นประเด็นใหญ่ในอัพเดต 74 โดย Firefox จะอนุญาตให้ผู้ใช้งานเท่านั้นที่มีสิทธิ์ติดตั้ง add-on บน Firefox และ Add-on Manager จะสามารถลบ add-on ทุกตัวที่ติดตั้งจากแอปภายนอกได้ทั้งหมด (เข้าไปที่ about:addons บน Firefox) ซึ่งกฎใหม่นี้จะช่วยลดการติดตั้ง add-on ที่ไม่พึงประสงค์และไม่ปลอดภัยได้ เนื่องจาก add-on เหล่านี้มักจะติดตั้งอัตโนมัติจากโปรแกรมภายนอก

Cyberreason บริษัทวิจัยด้านความปลอดภัยออกรายงานฉบับใหม่ที่ชี้ว่า แฮกเกอร์เริ่มหันมาเล่นงานกันเองแล้ว จากการฝังโทรจันในเครื่องมือที่ใช้แฮกเหยื่ออีกที อาทิ เครื่องมือแคร็กซอฟต์แวร์, คีย์เจน เพื่อเข้าถึงเครื่องของแฮกเกอร์และเหยื่อที่ถูกแฮกอีกต่อ

โทรจันตัวนี้ชื่อว่า njRat เป็นโทรจันที่โผล่มาตั้งแต่ปี 2013 ใช้โจมตีเหยื่อไม่ว่าจะผ่านทาง phishing, แฟลชไดรฟ์ ไปจนถึงติดตั้งเว็บไซต์ที่ไม่ปลอดภัยอย่าง WordPress ที่มีช่องโหว่ เพื่อเข้าถึงเครื่องเหยื่อ ทั้งไฟล์ พาสเวิร์ด ไมโครโฟนและกล้อง รวมถึงใช้เป็นบ็อตเน็ตสำหรับ DDoS ด้วย ขณะที่ระยะหลัง ๆ njRat ถูกนำไปฝังในเครื่องมือสำหรับแฮกเกอร์อีกต่อ

อ่านรายงานฉบับเต็มได้จากที่มา

แนวคิดการทำ sandbox เพื่อจำกัดขอบเขตความเสียหายกรณีโปรแกรมโดนแฮ็ก กำลังได้รับความนิยมมากขึ้นเรื่อยๆ แต่หลายกรณีก็มีข้อจำกัด เช่น การเรียกใช้ไลบรารีที่มีขนาดเล็กจนไม่สามารถแยกโพรเซสได้ แต่ไลบรารีก็ไม่ได้เขียนเองทำให้ควบคุมคุณภาพโค้ดไม่ได้

Mozilla ร่วมกับทีมวิจัยจากมหาวิทยาลัย 3 แห่งคือ University of California San Diego, University of Texas Austin, Stanford University พัฒนาเทคนิคใหม่ชื่อ RLBox แก้ปัญหานี้ด้วยการแปลงโค้ด C/C++ เป็น WebAssembly ก่อน เพื่อรันใน sandbox ของ WebAssembly แทน

เดิมการเปิดใช้งาน (enroll) กุญแจ U2F เพื่อล็อกอิน 2 ชั้นบนแอคเคาท์ Google ต้องทำผ่าน Chrome เฉพาะพีซีหรือ macOS เท่านั้น ล่าสุด Google ให้เปิดใช้งานผ่าน Chrome บน Android และ Safari แล้ว

Android ต้องเป็นเวอร์ชัน 7.0 Nougat และ Chrome 70 ขึ้นไป ส่วน Safari ต้องเป็นเวอร์ชัน 13.0.4 ขึ้นไป ขณะที่การเปิด 2FA ด้วยกุญแจ ให้เข้าไปที่แอคเคาท์ Google >> เลือก Security >> เลือก 2-Step Verification และเลือก Add Secrutiy Key

ที่มา - G Suite Update via 9to5Google

ศูนย์ความมั่นคงปลอดภัยไซเบอร์สหราชอาณาจักร (National Cyber Security Centre - NCSC) ออกคำแนะนำการใช้กล้องวงจรปิดและกล้องดูแลเด็ก (baby monitor) ให้ปลอดภัย โดยแนะนำ 3 ข้อใหญ่ได้แก่

Let's Encrypt ประกาศพบบั๊กในระบบออกใบรับรอง ทำให้มีการออกใบรับรองโดยตรงสอบไม่ครบถ้วน และจำเป็นต้องยกเลิก (revoke) ใบรับรองที่ตรวจสอบไม่ครบนี้ออกจากระบบ รวมใบรับรองที่กระทบ 3,048,289 ใบ จากใบรับรองที่ยังใช้งานได้ตอนนี้ 116 ล้านใบ หรือคิดเป็น 2.6%

บั๊กนี้เกิดจากข้อกำหนดที่หน่วยงานออกใบรับรองต้องเช็ค DNS ในส่วน CAA ที่อาจจะจำกัดหน่วยงานที่ออกใบรับรองก่อนออกใบรับรองเสมอ แต่ซอฟต์แวร์ของ Let's Encrypt กลับจำค่าเดิมไว้นานถึง 30 วัน ทำให้กรณีที่เจ้าของโดเมนแก้ไขค่า CAA จน Let's Encrypt ไม่ควรจะออกใบรับรองได้แล้ว และมีเจ้าของโดเมนขอให้ Let's Encrypt ออกใบรับรองอีกครั้งก็จะกลายเป็นออกใบรับรองได้

Australian Communications and Media Authority (ACMA) หรือกสทช.ออสเตรเลียประกาศมาตรฐานการตรวจสอบผู้ใช้ก่อนออกซิมใหม่ หลังพบว่าประชาชนเป็นเหยื่อมากขึ้นและการถูกขโมยหมายเลขโทรศัพท์แต่ละครั้งทำให้เหยื่อเสียหายเฉลี่ยสูงกว่า 10,000 ดอลลาร์ออสเตรเลีย หรือมากกว่าสองแสนบาท

ทาง ACMA ไม่ได้แยกย่อยว่าความเสียหายส่วนใหญ่เกิดจากอะไร แต่ก็ระบุความสำคัญของการใช้บริการธนาคารบนโทรศัพท์มือถือ ที่หากคนร้ายควบคุมหมายเลขโทรศัพท์ได้ก็จะขโมยเงินได้

กฎใหม่นี้บังคับให้ผู้ให้บริการเครือข่ายโทรศัพท์มือถือต้องยืนยันตัวตนลูกค้าที่มาขอเปลี่ยนซิมด้วยมาตรการ 2 ขั้นตอนเป็นอย่างน้อย (multi factor authentication) ผู้ให้บริการที่ไม่ทำตามข้อกำหนดนี้มีโทษปรับสูงสุด 250,000 ดอลลาร์ออสเตรเลียหรือ 5 ล้านบาท

นักวิจัยจากบริษัท ThreatFabric ประเทศเนเธอร์แลนด์พบมัลแวร์บน Android ชื่อ Cerberus ที่เป็นเวอร์ชันใหม่ มีความสามารถขโมยรหัส two-factor authentication (2FA) จากแอพ Google Authenticator ได้ แต่มัลแวร์ดังกล่าวยังมีข้อจำกัดอยู่ เพราะต้องหลอกเจ้าของเครื่องให้อนุญาตให้มัลแวร์เข้าถึงสิทธิ์ Accessibility (ฟีเจอร์ผู้พิการ) เสียก่อน แต่หากหลงเชื่อแล้ว มัลแวร์จะสามารถอ่านเนื้อหาบนหน้าจอได้

หลังจากนั้น เมื่อแอพ Google Authenticator ถูกเปิดขึ้นมา มัลแวร์จะอ่านตัวเลขรหัส OTP บนหน้าจอและส่งกลับไปยังเซิฟเวอร์ของตัวเอง

Let's Encrypt โครงการแจกใบรับรองเข้ารหัสฟรีประกาศออกใบรับรองครบ 1 พันล้านใบ รวมประมาณ 192 ล้านเว็บไซต์

Let's Encrypt เปิดแจกใบรับรองจริงครั้งแรกเมื่อเดือนธันวาคมปี 2015 ผ่านมาสี่ปี ตอนนี้โครงการมีพนักงานประจำ 11 คน และใช้งบประมาณปีละ 2.61 ล้านดอลลาร์สหรัฐฯ หรือประมาณ 82 ล้านบาท โดยเพิ่มพนักงานเพียงสองคนในช่วงเวลาสองปีที่ผ่านมา

ผลของการมี Let's Encrypt ทำให้การเข้าชมเว็บไซต์ 81% เป็นการเชื่อมต่อแบบเข้ารหัส เพิ่มขึ้นอย่างรวดเร็วจากสองปีก่อนที่อยู่ที่ 58% เท่านั้น

ที่มา - Let's Encrypt

เราเริ่มเห็นการใช้ชิปเฉพาะทางเก็บข้อมูลสำคัญๆ บนสมาร์ทโฟน เพื่อการันตีความปลอดภัยที่เหนือกว่าการเก็บในหน่วยความจำแบบเดิม ตัวอย่างเช่น Titan M ของ Google Pixel หรือ Apple T2 ของ iPhone

ล่าสุดซัมซุงเปิดเผยว่ามือถือซีรีส์ Galaxy S20 ที่เพิ่งเปิดตัว มีชิปความปลอดภัยแบบเดียวกันชื่อ S3K250AF สำหรับเก็บกุญแจดิจิทัลและรหัสผ่านของผู้ใช้ เมื่อบวกกับซอฟต์แวร์ด้านความปลอดภัยของซัมซุง ที่ผ่านมาตรฐาน Common Criteria Evaluation Assurance Level (CC EAL) 5+ จะรวมเป็นโซลูชันด้านความปลอดภัย Secure Element (SE) ที่สมบูรณ์

กูเกิลออกอัพเดต Chrome 80.0.3987.122 เป็นการอุดช่องโหว่นอกรอบอัพเดตปกติ ให้กับ Chrome 80 ที่ออกรุ่นเสถียรเมื่อต้นเดือน

ช่องโหว่รอบนี้มี 3 ตัว มีความสำคัญระดับ High โดยช่องโหว่หนึ่งตัว (CVE-2020-6418) ที่เกี่ยวกับหน่วยความจำของเอนจิน V8 พบรายงานการโจมตีผ่านช่องโหว่นี้แล้ว

ผู้ใช้งาน Chrome บนเดสก์ท็อปทุกแพลตฟอร์มควรกดอัพเดตกันทันที

ที่มา - Chrome Releases, ZDNet

เมื่อสัปดาห์ที่แล้วไมโครซอฟท์ประกาศว่าจะขยาย Microsoft Defender ATP (MTP) ชุดซอฟต์แวร์ความปลอดภัยออกไปทุกแพลตฟอร์มรวมถึงลินุกซ์ วันนี้ไมโครซอฟท์ก็ออกมาให้รายละเอียดสำหรับเวอร์ชั่นลินุกซ์เพิ่มเติม

MTP รองรับลินุกซ์ดิสโทรหลักแทบทั้งหมด ได้แก่ RHEL 7+, CentOS Linux 7+, Ubuntu 16 LTS, or higher LTS, SLES 12+, Debian 9+, และ Oracle EL 7 โดยสามารถติดตั้งผ่าน Puppet หรือ Ansible ก็ได้

การควบคุม MTP จะสามารถควบคุมผ่าน command line ได้ทั้งหมดผ่านคำสั่ง mdatp และยังรายงานข้อมูลการการสแกนเครื่องกลับไปยัง Microsoft Defender Security Center

รุ่นพรีวิวจะเปิดให้ดาวน์โหลดจริงในอีกไม่กี่วันข้างหน้า ส่วนฟีเจอร์เพิ่มเติมไมโครซอฟท์สัญญาว่าจะอัพเดตให้ในไม่กี่เดือน

วันนี้ Mozilla ประกาศเตรียมเปิดใช้งาน DNS over HTTPS ระบบ DNS เข้ารหัสเพื่อรักษาความปลอดภัยและความเป็นส่วนตัวให้ผู้ใช้งาน Firefox ในสหรัฐฯ อย่างเป็นทางการ โดยจะทยอยปล่อยฟีเจอร์นี้ให้ผู้ใช้งานทีละกลุ่ม

Mozilla ระบุว่า DNS ถูกออกแบบมานานหลายทศวรรษแล้ว ซึ่งแม้ว่าเบราว์เซอร์จะใช้ HTTPS แต่การ lookup เพื่อหาไอพีแอดเดรสโดย DNS ยังคงไม่ได้เข้ารหัส ซึ่งถือเป็นจุดอ่อนสำคัญเพราะอุปกรณ์อื่นสามารถเก็บ ไปจนถึงบล็อคหรือเปลี่ยนคำขอ DNS ก็ย่อมได้

นักพัฒนาซอฟต์แวร์จากเยอรมนี ค้นพบช่องโหว่ในระบบไอทีของ McDonald's ประเทศเยอรมนี ทำให้เขาสามารถสั่งอาหารได้ฟรีทุกครั้งไป

ท้ายใบเสร็จของ McDonald's เยอรมนีมีลิงก์ไปยังเว็บเพจที่สอบถามความเห็นของลูกค้า ตอบแล้วจะได้โค้ดไปแลกรับเครื่องดื่มขนาดเล็กได้ฟรี ซึ่ง David Albert นักพัฒนาซอฟต์แวร์ในข่าวค้นพบแพทเทิร์นการออกโค้ดที่ซ้ำเดิมตลอดเวลา ทำให้เขาสามารถออกโค้ดแลกรับเครื่องดื่มได้เอง

นอกจากนี้ David ยังค้นพบวิธีการหลอกให้แอพ McDonald's บนมือถือ เชื่อมต่อกับโปรแกรมของเขาเพื่อหลอกให้แอพจ่ายเงิน (จ่ายปลอมๆ คือ 0 ยูโร) แล้วออกใบแจ้งออเดอร์ไปยังห้องครัวได้ด้วย วิธีการนี้ทำให้เขาสามารถสั่งอาหารได้ฟรีเสมอ

ตอนนี้ Safari กำลังจะเริ่มบังคับใช้นโยบายใหม่ คือจะไม่ยอมรับใบรับรองเว็บไซต์ที่กำหนดวันหมดอายุไว้มากกว่า 13 เดือนนับจากวันสร้างใบรับรอง ซึ่งจะส่งผลโดยตรงต่อเว็บไซต์ที่ใช้ใบรับรองที่กำหนดวันหมดอายุไว้นาน ๆ

นโยบายใหม่นี้เสนอในที่ประชุม CA/Browser โดยเริ่มตั้งแต่วันที่ 1 กันยายน Safari จะไม่ยอมรับใบรับรองใดก็ตามที่มีอายุมากกว่า 398 วันนับจากวันออกใบรับรอง ลดลงจากเดิมที่กำหนดไว้ 825 วัน โดยจะขึ้นคำแจ้งเตือนผู้ใช้เหมือนกับเว็บไซต์ที่ใบรับรองไม่ปลอดภัย

Microsoft Threat Protection (MTP) เป็นชื่อเรียกรวมๆ ของชุดฟีเจอร์-บริการด้านความปลอดภัยของไมโครซอฟท์แบบเสียเงินหลายตัว ประกอบด้วย Microsoft Defender ATP ที่คุ้มครองเครื่อง, Office 365 ATP คุ้มครองอีเมล, Azure ATP คุ้มครองบัญชี, Microsoft Cloud App Security คุ้มครองแอพ

วันนี้ไมโครซอฟท์ประกาศว่า Microsoft Threat Protection มีสถานะเปิดบริการเป็นการทั่วไป (generally available) องค์กรที่จ่ายแพ็กเกจ Microsoft 365 E5 อยู่แล้วสามารถเปิดใช้งานได้ทันทีผ่านหน้าแอดมินของระบบ

Akamai เปิดรายงานความปลอดภัยของบริการทางการเงิน (Finnancial Service - FinServ) ในช่วง ปีปลายปี 2017 ถึงปลายปี 2019 พบว่ามีอัตราความพยายามล็อกอินผ่านทางเซิร์ฟเวอร์ที่เป็น API gateway มากขึ้นเรื่อยๆ

รายงานแสดงให้เห็นว่าอุตสาหกรรมอื่นนั้นแฮกเกอร์พยายามขโมยบัญชีผู้ใช้ผ่านทาง API มาต่อเนื่องระยะหนึ่งแล้ว โดยรวมช่วงที่สำรวจมีการยิงผ่าน API ประมาณ 20% จากการยิงรหัสผ่านทั้งหมด 85,422 ล้านครั้ง แต่สำหรับอุตสาหกรรมทางการเงินเริ่มมีปริมาณสูงขึ้นช่วงปลายปี 2019 ที่ผ่านมา รวมมีการยิงรหัสผ่าน 473 ล้านครั้ง

OpenSSH ออกรุ่น 8.2 โดยฟีเจอร์สำคัญคือมันรองรับกุญแจ FIDO/U2F อย่างเป็นทางการแล้ว ทำให้ผู้ดูแลระบบสามารถเพิ่มความปลอดภัยของไฟล์ private key สำหรับล็อกอินด้วยการยืนยันผ่านกุญแจ FIDO อีกชั้น

ตัวโค้ดของ OpenSSH มาพร้อมกับระบบเชื่อมต่อกุญแจ FIDO แบบ USB ในตัวแต่โปรแกรมออกแบบให้รองรับกุญแจแบบอื่น เช่น Bluetooth หรือ NFC ได้ด้วย และการคอนฟิกการใช้กุญแจสามารถทำได้ทั้งแจ้งผู้ใช้ให้กดปุ่มบนกุญแจเพื่อยืนยันการล็อกอิน หรือจะใช้โหมดเสียบกุญแจไว้ในเครื่องเฉยๆ ก็ได้ นอกจากนี้ยังรองรับฟีเจอร์ resident keys ของ FIDO ที่สามารถเซฟไฟล์ private key เอาไว้ในกุญแจ FIDO ได้ด้วย แต่ทาง OpenSSH แนะนำว่าควรใช้เฉพาะกุญแจ FIDO ที่มีระบบป้องกันการดาวน์โหลดไฟล์ออกมาด้วย PIN อีกชั้น

เมื่อต้นปี 2019 เราเห็นข่าว Google Play ห้ามแอพที่ขอสิทธิเข้าถึงบันทึกการโทรและ SMS โดยไม่จำเป็น โดยให้เหตุผลเรื่องความปลอดภัยและความเป็นส่วนตัว แต่ก็สร้างเสียงวิจารณ์ไม่น้อย

เวลาผ่านมาครบปี กูเกิลสรุปตัวเลขให้เห็นชัดๆ ว่าแอพที่ขอสิทธิการใช้งาน SMS และการโทร (call data) มีจำนวนลดลงถึง 98% โดย 2% ที่เหลือคือแอพที่ยังจำเป็นต้องใช้งานสิทธิเหล่านี้จริงๆ

กูเกิลยังให้ข้อมูลด้านความปลอดภัยอื่นๆ ของ Google Play ในปี 2019 ดังนี้

กูเกิลร่วมมือกับ Duo Security บริษัทความปลอดภัยในเครือ Cisco และ Jamila Kaya นักวิจัยด้านความปลอดภัยอิสระ ค้นพบและถอดส่วนขยายของ Chrome ที่ไม่ปลอดภัยออกจาก Chrome Web Store ประมาณ 500 ตัว

Duo Security มีตัวสแกน Chrome ชื่อว่า CXRcavator เพื่อตรวจสอบความปลอดภัยของส่วนขยาย เครื่องมือนี้ตรวจพบว่ามีส่วนขยายประมาณ 70 ตัวที่มีฟังก์ชันเหมือนๆ กัน สร้างมาจากขบวนการอาชญากรรมไซเบอร์ทีมเดียวกัน ใช้เทคนิคคุกกี้แบบเดียวกับโฆษณา (malvertising) หลุดรอดขึ้นไปบน Chrome Web Store ส่งผลกระทบต่อผู้ใช้ 1.7 ล้านราย