Эксперты компании Socket сообщили о двух вредоносных расширениях для браузера Google Chrome под названием Phantom Shuttle, которые маскируются под сервис для тестирования скорости соединения. На деле речь идёт о тщательно замаскированных инструментах массового слежения за пользователями. Расширения остаются доступными в магазине Chrome и продолжают собирать данные с тысяч устройств по всему миру.
Как выяснили специалисты, оба плагина опубликованы одним разработчиком, но имеют разные идентификаторы и время появления в сети. Первый появился ещё в 2017 году и собрало около 2000 установок. Второй распространяется с 2023 года и имеет более 180 пользователей. Несмотря на выявленные угрозы, они по-прежнему размещены в официальном каталоге расширений.
Phantom Shuttle позиционируется как специализированный инструмент для разработчиков и специалистов по трансграничной торговле. Пользователям предлагается платная подписка с якобы расширенными VPN-возможностями по цене от 9,9 до 95,9 юаня (110–1064 рублей). Однако за этим предложением скрывается полноценный шпионский механизм.
Как объяснил исследователь Куш Пандья из Socket, после активации подписки у пользователя автоматически включается режим «smarty-proxy», в котором интернет-трафик перенаправляется через серверы злоумышленников. При этом расширение работает по схеме «человек посередине» (MitM), подменяя и перехватывая запросы с более чем 170 популярных ресурсов.
В список перехватываемых доменов попали ключевые платформы для разработчиков и бизнеса: GitHub, Stack Overflow, Docker, Amazon Web Services, Microsoft Azure, DigitalOcean, Cisco, IBM, VMware. Также фиксируются обращения к крупным социальным сетям — Facebook, Instagram (принадлежащий Meta Platforms Inc., запрещённой в РФ и признанной экстремистской), X (Twitter), а также к сайтам для взрослых. Специалисты не исключают, что последние добавлены для возможного последующего шантажа.
Функциональность расширения делает его особенно опасным. Внутри были обнаружены модифицированные JavaScript-библиотеки, которые автоматически вводят жёстко прописанные логины и пароли для прокси при любой попытке HTTP-аутентификации. Эти действия выполняются скрытно — пользователю не отображается окно авторизации, и он не догадывается о вмешательстве.
В дополнение к этому плагин применяет PAC-скрипты для подмены маршрутов, а затем перехватывает всю чувствительную информацию: учётные данные, cookies, содержимое веб-форм, API-ключи, платёжные токены и даже номера банковских карт. Как зафиксировали специалисты, каждые 5 минут расширение отправляет на сервер злоумышленников связку email и пароля пользователя в открытом виде.
Визуально плагин продолжает выполнять заявленные функции — показывает скорость соединения, задержки, создаёт видимость работы законного VPN-сервиса. Это помогает ему оставаться незамеченным, в том числе при проверке со стороны пользователей.
Специалисты по кибербезопасности призывают удалить Phantom Shuttle из браузера и провести ревизию всех установленных расширений. Также рекомендуется сменить пароли к основным сервисам и включить двухфакторную аутентификацию.
* Корпорация Meta, владеющая Facebook и Instagram, признана экстремистской организацией и запрещена на территории Российской Федерации.
Оригинал публикации на сайте CISOCLUB: "Фейковые VPN-расширения в Chrome оказались инструментом тотального шпионажа и утечки данных".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.