Фейковые VPN-аддоны для Chrome оказались инструментом слежки

Специалисты по кибербезопасности выявили две вредоносные версии расширения Google Chrome Phantom Shuttle, которые маскируются под сервис для тестирования скорости сети, но фактически используются для перехвата интернет-трафика и кражи пользовательских данных. О находке сообщили исследователи компании Socket.

По данным экспертов, оба расширения имеют одинаковое название и опубликованы одним разработчиком, однако отличаются идентификаторами и датами размещения. Первая версия появилась в 2017 году и насчитывает около 2 тыс. установок, вторая была опубликована в 2023 году и используется примерно 180 пользователями. Несмотря на выявленные риски, оба аддона по-прежнему доступны в магазине расширений браузера Google Chrome.

Phantom Shuttle позиционируется как «мультилокационный плагин для тестирования скорости сети», ориентированный на разработчиков и специалистов по внешней торговле. Пользователям предлагается оформить платную подписку стоимостью от 9,9 до 95,9 юаня для доступа к якобы VPN-функциям. Однако, как пояснил исследователь Socket Куш Пандья, после оплаты расширение начинает работать как прокси с функцией «человек посередине» (MitM) и перехватывает весь трафик, регулярно отправляя данные на управляющий сервер злоумышленников.

После активации платного режима пользователю автоматически включается так называемый smarty-proxy. В этом состоянии трафик более чем с 170 популярных доменов перенаправляется через серверы атакующих. В перечень входят GitHub, Stack Overflow, Docker, облачные платформы AWS, Azure и DigitalOcean, а также сервисы Cisco, IBM и VMware. Кроме того, в списке присутствуют социальные сети Facebook и Instagram, принадлежащие компании Meta, а также платформа X (Twitter) и сайты для взрослых.

Исследователи отмечают, что расширение действительно выполняет заявленные функции и отображает показатели соединения, создавая видимость легального сервиса. При этом внутри аддона обнаружены модифицированные JavaScript-библиотеки, которые автоматически подставляют жёстко заданные логин и пароль прокси при HTTP-аутентификации. В результате расширение настраивает прокси через PAC-скрипт, получает позицию MitM, перехватывает логины, пароли, cookies, данные форм, API-ключи, токены и номера банковских карт. Каждые пять минут на сервер злоумышленников в открытом виде передаются адрес электронной почты и пароль пользователя.

В Socket считают, что схема выстроена профессионально: подписочная модель обеспечивает доход, а внешний вид сервиса снижает подозрения. Эксперты рекомендуют немедленно удалить Phantom Shuttle при его наличии и обращают внимание компаний и ИБ-подразделений на растущие риски, связанные с использованием браузерных расширений.