Найти в Дзене
CISOCLUB
11,4 тыс подписчиков

Phantom Shuttle: Chrome-расширения, похищающие учётные записи через прокси

3 мин
Phantom Shuttle — семейство вредоносных расширений для Chrome, активное как минимум с 2017 года, использует сложную цепочку действий для перехвата веб-сеансов и кражи учетных записей с более чем 170 веб‑сайтов. Отточенная модель атаки сочетает внедрение вредоносного JavaScript, настройку вредоносных прокси через PAC‑скрипты и постоянную связь с сервером командования и контроля (C2), что делает кампанию трудной для обнаружения и высокоэффективной для злоумышленников. Атака реализуется через вредоносное расширение, которое внедряет собственный JavaScript в посещаемые пользователем страницы. Этот скрипт: Ключевые технические артефакты, на которые стоит обратить внимание: «Расширение фактически превращает браузер в агент, который незаметно направляет и расшифровывает трафик через контролируемые злоумышленником прокси». Данная кампания сопоставима с несколькими техниками из MITRE ATT&CK: Для снижения ущерба эксперты рекомендуют срочно выполнить следующие шаги: Для уменьшения риска повторных
Оглавление

Phantom Shuttle — семейство вредоносных расширений для Chrome, активное как минимум с 2017 года, использует сложную цепочку действий для перехвата веб-сеансов и кражи учетных записей с более чем 170 веб‑сайтов. Отточенная модель атаки сочетает внедрение вредоносного JavaScript, настройку вредоносных прокси через PAC‑скрипты и постоянную связь с сервером командования и контроля (C2), что делает кампанию трудной для обнаружения и высокоэффективной для злоумышленников.

Как работает атака

Атака реализуется через вредоносное расширение, которое внедряет собственный JavaScript в посещаемые пользователем страницы. Этот скрипт:

  • декодирует жестко закодированные учетные данные прокси‑серверов;
  • устанавливает или перенастраивает PAC‑скрипт для направления трафика через прокси, контролируемые злоумышленниками;
  • перехватывает cookies, поля форм и токены аутентификации;
  • встраивает в браузер прослушиватель, автоматически отвечающий на запросы аутентификации прокси, обеспечивая беспрепятственный перехват сессий.

Технические артефакты и признаки компрометации

Ключевые технические артефакты, на которые стоит обратить внимание:

  • обфусцированные функции JavaScript и явно определённые строки, используемые для расшифровки учетных данных;
  • PAC‑скрипт, перенаправляющий трафик на серверы злоумышленников;
  • соединения с доменами и IP, выполняющими роль C2 и прокси;
  • поведение браузера: автоматический ответ на HTTP Proxy Authentication и аномальная передача cookie/форм‑полей в сторонние хосты.
«Расширение фактически превращает браузер в агент, который незаметно направляет и расшифровывает трафик через контролируемые злоумышленником прокси».

Соответствие MITRE ATT&CK

Данная кампания сопоставима с несколькими техниками из MITRE ATT&CK:

  • T1176 — Browser Extensions (использование расширений браузера для выполнения вредоносных действий);
  • T1557 — Adversary-in-the-Middle (в частности реализация враждебного прокси для перехвата трафика);
  • T1027 — Obfuscated Files or Information (использование обфускации для сокрытия вредоносного кода).

Рекомендации по немедленному реагированию

Для снижения ущерба эксперты рекомендуют срочно выполнить следующие шаги:

  • Удалить обнаруженные вредоносные расширения с управляемых устройств;
  • Заблокировать сетевой трафик к идентифицированным доменам и IP‑адресам C2 и прокси;
  • Принудительно сбросить пароли для всех потенциально затронутых учетных записей;
  • Провести анализ телеметрии сети и браузера для выявления аномалий (необычные PAC‑запросы, всплески передач cookie/форм‑полей, попытки аутентификации через сторонние прокси).

Меры среднего срока

Для уменьшения риска повторных компрометаций рекомендуется:

  • внедрить строгие политики белого списка расширений и ограничить установку расширений пользователями;
  • улучшить системы обнаружения сетевых аномалий и мониторинга PAC‑скриптов;
  • развернуть передовые решения EDR, способные обнаруживать шаблоны в двоичных файлах и поведении, характерные для подобных расширений;
  • обучить сотрудников безопасному использованию расширений и процедурам проверки привилегий браузера.

Оценка риска и пострадавшие сектора

Угроза оценивается как высокая — комбинированное использование перехвата сессий, доступа к токенам и автоматизированного обхода аутентификации существенно повышает риск компрометации критичных учетных данных. Наибольшая потенциальная вредоносность связана с утечкой данных идентификационных учетных записей, доступом к облачным ресурсам и финансовой информации.

Особо уязвимы следующие группы:

  • разработчики технологий;
  • облачные инженеры;
  • представители финансовых сервисов;
  • организации и группы, активно ведущие торговые операции с Китаем — отмечается заметная фокусировка атак на такие целевые аудитории.

Вывод

Phantom Shuttle демонстрирует, как вредоносные расширения могут стать инструментом сложной, длительной кампании по перехвату веб‑сессий и кражи учетных данных. Комбинация обфускации, враждебного прокси и автоматизированного поведения браузера делает обнаружение и реагирование непростыми, поэтому организациям необходимо оперативно внедрять как технические контрмеры, так и управленческие политики по контролю расширений и мониторингу сетевого поведения.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Phantom Shuttle: Chrome-расширения, похищающие учётные записи через прокси".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.

IT (информационные технологии)
5,67 млн интересуются