Експерти по киберсигурност разкриха две зловредни разширения за Google Chrome, публикувани под едно и също име и от един и същ разработчик, които имат способността да прихващат интернет трафик и да крадат потребителски идентификационни данни.
Разширенията се рекламират като „плъгин за тест на мрежовата скорост от различни локации“, насочен към разработчици и служители във външната търговия. И двете добавки са достъпни за изтегляне към момента.
Става въпрос за:
– Phantom Shuttle (ID: fbfldogmkadejddihifklefknmikncaj) – около 2 000 потребители, публикувано през ноември 2017 г.
– Phantom Shuttle (ID: ocpcmfmiidofonkbodpdhgddhlcmcofd) – около 180 потребители, публикувано през април 2023 г.
Според изследователя по сигурността от Socket Куш Пандя, потребителите плащат абонаменти между 1,40 и 13,50 долара, вярвайки, че купуват легитимна VPN услуга, но и двете версии извършват идентични злонамерени операции.
Зад фасадата на абонаментен модел разширенията действат като man-in-the-middle прокси, инжектират твърдо кодирани идентификационни данни и непрекъснато изпращат чувствителна информация към сървър за командване и контрол (C2), управляван от атакуващите.
След заплащане потребителите получават т.нар. VIP статус, а разширението автоматично активира режим „smarty“, който пренасочва трафика от над 170 предварително избрани домейна през инфраструктурата на нападателите.
За да изглеждат легитимни, разширенията действително извършват реални тестове за латентност, показват статус на връзката и симулират нормална функционалност. Основната им цел обаче остава прихващането на мрежовия трафик и кражбата на пароли.
Зловредният код е вграден в модифицирани JavaScript библиотеки – jquery-1.12.2.min.js и scripts.js. Те автоматично инжектират прокси идентификационни данни при всяка HTTP заявка за удостоверяване, без знанието на потребителя.
Разширенията използват PAC (Proxy Auto-Configuration) скрипт, който поддържа три режима:
– close – изключва проксито
– always – пренасочва целия трафик
– smarty – пренасочва само избрани „високостойностни“ сайтове
Сред засегнатите домейни са GitHub, Stack Overflow, AWS, Azure, Docker, Facebook, Instagram, както и сайтове за съдържание за възрастни. Последното вероятно цели изнудване на жертви, смятат експертите.
Разширението поддържа 60-секунден heartbeat към C2 сървър (phantomshuttle[.]space), като на всеки пет минути изпраща имейл, парола в чист текст и версия на софтуера чрез HTTP заявка.
В резултат могат да бъдат компрометирани:
пароли, данни за кредитни карти, бисквитки за удостоверяване, история на сърфиране, формуляри, API ключове и токени за достъп. Особено тревожна е възможността за кражба на разработчически тайни, което може да доведе до supply chain атаки.
Макар извършителите да не са официално идентифицирани, използването на китайски език, Alipay и WeChat Pay за плащания и Alibaba Cloud за хостинг на C2 инфраструктурата насочва към операция с произход от Китай.
Експертите предупреждават, че браузърните разширения се превръщат в сериозен риск за корпоративната сигурност. Потребителите, които са инсталирали Phantom Shuttle, трябва незабавно да го премахнат, а организациите да прилагат строга политика за разрешени разширения, мониторинг на прокси трафик и проверки за подозрителни абонаментни модели.
Все още няма коментари. Бъдете първи!