Исследователи по кибербезопасности обнаружили две вредоносные версии расширения Phantom Shuttle для браузера Google Chrome. Официально они позиционируются как «мультилокационный плагин для тестирования скорости сети» и предлагают платную подписку с якобы VPN‑функциями, однако на практике перехватывают интернет‑трафик и крадут данные пользователей. О находке сообщили специалисты компании Socket.
Оба расширения опубликованы одним разработчиком, имеют одинаковое название, но различаются ID и датой выхода. Первая версия появилась в каталоге Chrome ещё в 2017 году и набрала около 2 тыс. установок, вторая — в 2023 году, её используют порядка 180 человек. При этом оба дополнения до сих пор доступны в интернет‑магазине Chrome.
Исследователь Socket Куш Пандья пояснил, что после оформления платной подписки для пользователя включается режим VIP и активируется функция smarty‑proxy. В этом режиме расширение настраивает прокси через PAC‑скрипты, получает позицию «человека посередине» (MitM) и начинает перенаправлять трафик с более чем 170 популярных доменов через серверы злоумышленников. В списке целевых ресурсов — GitHub, Stack Overflow, Docker, крупные облачные платформы AWS, Azure, DigitalOcean, а также сайты Cisco, IBM, VMware, социальные сети Facebook, Instagram (обе принадлежат компании Meta, признанной экстремистской и запрещённой в России), платформа X (бывший Twitter) и ряд сайтов для взрослых.
Внутри кода обнаружены модифицированные JavaScript‑библиотеки, которые автоматически подставляют жёстко заданные логин и пароль прокси при любой HTTP‑аутентификации. Всё происходит незаметно: браузер не показывает пользователю окно ввода данных. Далее расширение перехватывает логины, пароли, cookies, содержимое форм, API‑ключи, токены и данные банковских карт, а каждые пять минут отправляет на управляющий сервер адрес электронной почты и пароль пользователя в открытом виде.
В Socket считают, что модель работы Phantom Shuttle выстроена профессионально: подписка одновременно приносит доход и снижает настороженность, а интерфейс с реальными функциями измерения скорости создаёт видимость легального сервиса. Эксперты рекомендуют немедленно удалить это расширение, если оно установлено, и пересмотреть политику использования браузерных плагинов, поскольку они становятся самостоятельным и слабо контролируемым каналом риска как для частных пользователей, так и для компаний, сообщает anti-malware.ru.
Читайте также: