Специалисты компании Socket сообщили о вредоносной активности двух расширений Phantom Shuttle для Google Chrome, которые маскируются под инструмент тестирования скорости сети и VPN‑сервис. Формально пользователям предлагают подписку стоимостью от 9,9 до 95,9 юаня (примерно 110–1064 рублей), но под видом доступа к дополнительным функциям запускается полноценная система перехвата трафика.
Обе версии Phantom Shuttle размещены в магазине Chrome одним разработчиком и имеют одинаковое название, но различаются идентификаторами и временем публикации. Первая доступна с 2017 года и установлена около 2 тыс. раз, вторая появилась в 2023‑м и используется примерно 180 пользователями. Несмотря на выявленные нарушения, расширения остаются доступными для скачивания.
Исследователь Куш Пандья отмечает, что после оформления подписки расширение переводит пользователя в режим VIP и включает так называемый smarty‑proxy. В этом режиме через серверы злоумышленников начинает проходить трафик с более чем 170 популярных сайтов: от GitHub, Stack Overflow, Docker, AWS, Azure и DigitalOcean до корпоративных ресурсов Cisco, IBM, VMware, а также соцсетей Facebook, Instagram (Meta, признана экстремистской и запрещена в России), X (Twitter) и ряда взрослых сайтов. Последние, по оценке экспертов, могут использоваться для возможного шантажа.
Разбор кода показал, что в расширение встроены изменённые JS‑библиотеки, автоматически подставляющие заранее прописанные учётные данные прокси при любом запросе HTTP‑аутентификации. Пользователь этого не видит: браузер не запрашивает логин и пароль. После установки аддон настраивает прокси через PAC‑скрипт, получает возможность перехватывать логины, пароли, cookies, данные форм, токены, API‑ключи и реквизиты карт, а каждые пять минут отправляет на управляющий сервер связку из e‑mail и пароля в открытом виде.
В Socket подчёркивают, что Phantom Shuttle сочетает продуманную финансовую модель подписки с правдоподобным функционалом тестирования сети, что снижает бдительность пользователей. Эксперты рекомендуют сразу удалить расширение, если оно установлено, изменить пароли к важным сервисам и пересмотреть список всех браузерных дополнений. Для корпоративных ИБ‑команд этот случай рассматривается как пример того, что расширения браузера должны оцениваться и контролироваться так же строго, как и любое другое программное обеспечение в инфраструктуре, сообщает anti-malware.ru.
Читайте также: