Специалисты по кибербезопасности выявили две вредоносные версии расширения Google Chrome Phantom Shuttle, которые маскируются под сервис для тестирования скорости сети, но фактически используются для перехвата интернет-трафика и кражи пользовательских данных.
О находке сообщили исследователи компании Socket. По данным экспертов, оба расширения имеют одинаковое название и опубликованы одним разработчиком, однако отличаются идентификаторами и датами размещения.
Первая версия появилась в 2017 году и насчитывает около 2 тыс. установок, вторая была опубликована в 2023 году и используется примерно 180 пользователями.
Несмотря на выявленные риски, оба аддона по-прежнему доступны в магазине расширений браузера Google Chrome. Phantom Shuttle позиционируется как «мультилокационный плагин для тестирования скорости сети», ориентированный на разработчиков и специалистов по внешней торговле.
Пользователям предлагается оформить платную подписку стоимостью от 9,9 до 95,9 юаня для доступа к якобы VPN-функциям.
Однако, как пояснил исследователь Socket Куш Пандья, после оплаты расширение начинает работать как прокси с функцией «человек посередине» (MitM) и перехватывает весь трафик, регулярно отправляя данные на управляющий сервер злоумышленников.
После активации платного режима пользователю автоматически включается так называемый smarty-proxy.
В этом состоянии трафик более чем с 170 популярных доменов перенаправляется через серверы атакующих. В перечень входят GitHub, Stack Overflow, Docker, облачные платформы AWS, Azure и DigitalOcean, а также сервисы Cisco, IBM и VMware.
Кроме того, в списке присутствуют социальные сети Facebook и Instagram, принадлежащие компании Meta, а также платформа X (Twitter) и сайты для взрослых.
Исследователи отмечают, что расширение действительно выполняет заявленные функции и отображает показатели соединения, создавая видимость легального сервиса.
При этом внутри аддона обнаружены модифицированные JavaScript-библиотеки, которые автоматически подставляют жёстко заданные логин и пароль прокси при HTTP-аутентификации.
В результате расширение настраивает прокси через PAC-скрипт, получает позицию MitM, перехватывает логины, пароли, cookies, данные форм, API-ключи, токены и номера банковских карт.
Каждые пять минут на сервер злоумышленников в открытом виде передаются адрес электронной почты и пароль пользователя. В Socket считают, что схема выстроена профессионально: подписочная модель обеспечивает доход, а внешний вид сервиса снижает подозрения.
Эксперты рекомендуют немедленно удалить Phantom Shuttle при его наличии и обращают внимание компаний и ИБ-подразделений на растущие риски, связанные с использованием браузерных расширений.
Рубрика: Технологии. Читать весь текст на astera.ru.