Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Phantom Shuttle: вредоносные расширения Chrome перехватывают аутентификацию

1
5 мин
Исследование показало, что два вредоносных расширения для Chrome, объединённые под именем «Phantom Shuttle», действуют с 2017 года и маскируются под легитимные VPN-сервисы. Мишенью злоумышленников становятся как отдельные пользователи, так и корпоративные клиенты: расширения перехватывают HTTP-аутентификацию через прокси, похищают учетные данные и сеансовые токены и передают их в инфраструктуру атакующих. Оба расширения распространялись одним и тем же злоумышленником и предлагали платные подписки, вводя пользователей в заблуждение и убеждая их в том, что это законный инструмент для тестирования скорости сети. Основные технические детали: «Расширения поддерживают непрерывное соединение с сервером командования и контроля (C2) в phantomshuttle.space с интервалом в 60 секунд.» Атака опирается на комбинацию методов: История регистрации домена и устойчивость работы C2 указывают на длительную и целенаправленную преступную деятельность. Особую обеспокоенность вызывают отрасли с высокой долей к
Оглавление

Исследование показало, что два вредоносных расширения для Chrome, объединённые под именем «Phantom Shuttle», действуют с 2017 года и маскируются под легитимные VPN-сервисы. Мишенью злоумышленников становятся как отдельные пользователи, так и корпоративные клиенты: расширения перехватывают HTTP-аутентификацию через прокси, похищают учетные данные и сеансовые токены и передают их в инфраструктуру атакующих.

Краткое содержание обнаруженного

Оба расширения распространялись одним и тем же злоумышленником и предлагали платные подписки, вводя пользователей в заблуждение и убеждая их в том, что это законный инструмент для тестирования скорости сети. Основные технические детали:

  • Ключевая функциональность реализована в двух JavaScript-библиотеках: libraries-jquery-1.12.2.min.js и scripts.js, содержащих обфусцированный код для автоматического внедрения учетных данных;
  • Расширения регистрируют слушатели для перехвата каждого HTTP-аутентификационного запроса на разных сайтах;
  • После активации расширения динамически изменяют настройки прокси с помощью PAC (скрипта автоматической настройки прокси) и вводят три режима работы: «закрыть» (отключен), «всегда» (перенаправляет весь трафик) и «smarty» (выборочно нацелен на домены высокой ценности); режим smarty нацелен более чем на 170 доменов;
  • Поддерживается постоянное соединение с сервером командования и контроля (C2) по адресу phantomshuttle.space с интервалом в 60 секунд; сервер размещён в Alibaba Cloud (Hong Kong).
«Расширения поддерживают непрерывное соединение с сервером командования и контроля (C2) в phantomshuttle.space с интервалом в 60 секунд.»

Как это работает (техническая картина)

Атака опирается на комбинацию методов:

  • обфусцированный JavaScript, который внедряет обработчики аутентификации в браузере и перехватывает HTTP-auth запросы;
  • динамическое изменение конфигурации прокси через PAC, что позволяет выборочно или полностью перенаправлять трафик через инфраструктуру злоумышленника;
  • эксфильтрация данных по нескольким каналам: похищенные учетные данные и токены сеанса сохраняются в локальном хранилище Chrome для закрепления доступа и затем передаются на C2;
  • постоянное поддержание связи с C2 (интервал 60 секунд) для получения команд и обновлений вредоносной логики.

Операционный контекст и потенциальный ущерб

История регистрации домена и устойчивость работы C2 указывают на длительную и целенаправленную преступную деятельность. Особую обеспокоенность вызывают отрасли с высокой долей конфиденциальных данных, такими как внешняя торговля и development, где компрометация аутентификационных данных может привести к утечке коммерческой и разработческой информации, финансовым убыткам и подрыву деловой репутации.

Показатели компрометации (IOC) и признаки заражения

  • наличие расширений, маскирующихся под VPN/прокси-инструменты;
  • файлы/библиотеки: libraries-jquery-1.12.2.min.js, scripts.js с обфусцированным кодом;
  • PAC-конфигурации с режимами «закрыть», «всегда», «smarty» и списком целевых доменов (~170+);
  • сетевые соединения к phantomshuttle.space с периодичностью около 60 секунд;
  • наличие неожиданных учетных данных или токенов в локальном хранилище Chrome;
  • подписные модели оплаты в интерфейсе расширения одновременно с прокси-функциями — подозрительный признак коммерческого злоумышленного проекта.

Рекомендации для пользователей и организаций

Для снижения риска и обнаружения подобных угроз следует предпринять ряд мер на уровне конечных пользователей и на уровне корпоративной безопасности.

Рекомендации для пользователей

  • Проверить разрешения всех установленных расширений, особенно тех, что связаны с VPN и прокси;
  • Удалить ненужные или подозрительные расширения; если расширение требует доступа к «всем сайтам» или управлению прокси — отнестись к этому с повышенным вниманием;
  • Проверить локальное хранилище Chrome на наличие неизвестных учетных данных или токенов и очистить его при подозрении на компрометацию;
  • Регулярно обновлять браузер и использовать проверённые решения для VPN/прокси.

Рекомендации для специалистов по безопасности

  • Внедрить политику белого списка расширений и блокировать установки расширений с опасными разрешениями;
  • Отслеживать и блокировать домены и IP, связанные с C2 (например, phantomshuttle.space), а также подозрительную активность PAC;
  • Аудитировать расширения на предмет наличия платёжных моделей совместно с прокси-функциями — это может указывать на коммерчески мотивированную операцию злоумышленников;
  • Внедрять мониторинг на предмет жестко закодированных учетных данных в расширениях и подозрительных попыток аутентификации по HTTP-auth;
  • Применять сетевые механизмы защиты (NGFW, прокси-логирование, IDS/IPS), чтобы детектировать и блокировать перенаправления трафика через подозрительные PAC и внешние прокси.

Классификация атак по MITRE ATT&CK

Методы, используемые «Phantom Shuttle», сопоставимы с несколькими шаблонами в фреймворке MITRE ATT&CK, в том числе:

  • использование расширений браузера как вектора атаки;
  • техники Man-in-the-Middle через подмену прокси/PAC и перехват HTTP-auth;
  • эксфильтрация данных через C2-инфраструктуру;
  • установление устойчивости путем сохранения токенов/учетных данных в локальном хранилище.

Вывод

«Phantom Shuttle» — пример сложной и продолжительной кампании злоумышленников, сочетающей социальную инженерию (платные подписки, маскировка под VPN) и технически продвинутое внедрение в браузерную инфраструктуру. Пользователям и корпоративным администраторам необходимо проявлять бдительность при установке расширений и усилить контроль над расширениями в среде сотрудников. Для предупреждения подобных угроз требуются как пользовательские практики осторожности, так и организационные меры контроля и мониторинга.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Phantom Shuttle: вредоносные расширения Chrome перехватывают аутентификацию".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.

1
Гаджеты и электроника
5,73 млн интересуются