Специалисты компании Socket выявили сразу две вредоносные версии расширения Phantom Shuttle для браузера Google Chrome, которые под видом утилиты для измерения скорости интернета перехватывают пользовательский трафик и крадут конфиденциальные данные. Об этом сообщает портал anti-malware.ru.
Расширение преподносится как VPN-сервис с функцией мультилокационного тестирования скорости, предлагающим платную подписку и интерфейс с реальными измерениями. Однако на деле оно функционирует как инструмент перехвата и утечки информации. Обе версии плагина опубликованы в официальном магазине Chrome одним разработчиком, имеют одинаковое название, но разные ID и дату выхода. Первая из них появилась в 2017 году и успела набрать около 2000 установок, вторая размещена с 2023 года и установлена примерно у 180 пользователей. Оба варианта остаются доступными для скачивания до сих пор.
Исследователь компании Socket Куш Пандья пояснил, что при переходе в режим VIP после оплаты подписки активируется функция smarty proxy, через которую расширение получает позицию посредника (MitM). Используя PAC-скрипты, оно перенаправляет интернет-трафик с более чем 170 популярных ресурсов — среди них GitHub, Stack Overflow, Docker, облачные сервисы AWS, Azure, DigitalOcean, а также сайты Cisco, IBM, VMware, соцсети Facebook и Instagram (принадлежат компании Meta, признанной в России экстремистской), платформа X (бывший Twitter) и даже сайты с контентом для взрослых.
Кроме того, в коде расширения были найдены модифицированные JavaScript-библиотеки, которые автоматически подставляют прокси-учётные данные при любой HTTP-авторизации. Всё происходит без уведомления пользователя: поля логина и пароля не отображаются, а данные перехватываются и пересылаются злоумышленникам. Каждые пять минут расширение отправляет на удалённый сервер email и пароль пользователя в открытом виде. Также похищаются cookies, токены, содержимое форм, API-ключи и платёжная информация.
Эксперты Socket отмечают, что злоумышленники выстроили сложную и замаскированную схему. Благодаря платной модели и визуально правдоподобному интерфейсу Phantom Shuttle выглядит как законный инструмент, что снижает уровень подозрений. Тем не менее расширение представляет собой серьёзную угрозу для безопасности — как личной, так и корпоративной. В связи с этим специалисты рекомендуют немедленно удалить Phantom Shuttle, если он установлен, и критически пересмотреть подход к использованию браузерных расширений.
Читайте также: