Исследовательская группа по угрозам компании Socket обнаружила два вредоносных расширения для браузера Chrome под общим названием Phantom Shuttle. Они распространяются с 2017 года одним злоумышленником и маскируются под легитимный платный сервис для разработчиков, осуществляя полный перехват трафика и кражу учетных данных пользователей.
Описание
Расширения, опубликованные под электронной почтой theknewone.com@gmail[.]com, позиционируются в Chrome Web Store как инструменты для тестирования скорости сети из разных географических точек. Они предлагают пользователям, преимущественно китайской аудитории, платную подписку стоимостью от 9.9 до 95.9 юаня, имитируя работу настоящего VPN-сервиса. Однако, как выяснили исследователи, за этим фасадом скрывается сложная вредоносная функциональность.
Механизм работы угрозы
После установки и оплаты расширения активируют так называемый "умный" режим прокси. При этом весь веб-трафик пользователя, направленный к более чем 170 целевым доменам, перенаправляется через серверы, контролируемые злоумышленником. В список целей входят важные ресурсы: платформы для разработчиков (GitHub, Stack Overflow), облачные сервисы (Amazon AWS, Microsoft Azure), корпоративные порталы и социальные сети.
Ключевой элемент атаки - внедрение заранее заданных учетных данных для аутентификации на прокси-сервере. Вредоносный код, встроенный в легитимные библиотеки JavaScript (jQuery), автоматически подставляет логин "topfany" и пароль "963852wei" при любом запросе HTTP-аутентификации в браузере. Этот процесс происходит без ведома пользователя, что позволяет злоумышленнику занимать позицию "человека посередине" (man-in-the-middle).
Сбор и утечка данных
Расширения реализуют несколько каналов эксфильтрации информации. Каждые 60 секунд они отправляют "сигнал жизнеспособности" (heartbeat) на командный сервер "phantomshuttle[.]space", передавая, в том числе, email и пароль пользователя в открытом виде. Параллельно через прокси-серверы перехватывается весь HTTP-трафик, что позволяет злоумышленнику получать логины, пароли, данные банковских карт, cookies сессий и другую конфиденциальную информацию.
Инфраструктура злоумышленника остается активной. Доменное имя было зарегистрировано в 2017 году, а хостинг осуществляется в облаке Alibaba Cloud. По данным исследователей, расширениями уже воспользовались более 2180 человек, и на момент публикации они все еще доступны в магазине Chrome. Команда Socket уже направила запросы на удаление угрозы в службу безопасности Google.
Риски и рекомендации
Особую опасность эта кампания представляет для корпоративных пользователей. Целенаправленный выбор аудитории - разработчики и сотрудники внешнеторговых компаний - создает риски для бизнеса. Компрометация личных аккаунтов сотрудников, которые также имеют доступ к корпоративным системам, может открыть путь для атак на всю организацию.
Эксперты рекомендуют пользователям с осторожностью относиться к расширениям, запрашивающим разрешения на управление прокси и аутентификацией. Необходимо регулярно проводить аудит установленных расширений и удалять неиспользуемые. Компаниям следует внедрять политики whitelisting для браузерных расширений и внимательно отслеживать сетевую активность на предмет подозрительных попыток аутентификации через прокси.
Индикаторы компрометации
Chrome Extension
- Name: Phantom Shuttle (幻影穿梭)
- Extension ID: fbfldogmkadejddihifklefknmikncaj & ocpcmfmiidofonkbodpdhgddhlcmcofd
- Version: 3.1.9
Registration Email: theknewone.com@gmail.com
Network Indicators
- C2 Domain: phantomshuttle.space
- C2 IP Address: 47.244.125.55
- Proxy Credentials: topfany / 963852wei
