Эксперты в области кибербезопасности обнаружили две вредоносные версии расширения для Google Chrome под названием Phantom Shuttle. Аддоны выдают себя за инструмент для проверки скорости интернет-соединения, однако на деле используются для перехвата сетевого трафика и хищения пользовательской информации. Об этом сообщили исследователи компании Socket.
Как установили специалисты, оба расширения имеют одинаковое название и одного разработчика, но различаются идентификаторами и временем публикации. Первая версия появилась в 2017 году и была установлена примерно 2 тыс. раз, вторая вышла в 2023 году и насчитывает около 180 пользователей. Несмотря на выявленную угрозу, оба расширения все еще доступны в официальном магазине Chrome.
Phantom Shuttle позиционируется как «мультилокационный плагин для тестирования скорости сети», ориентированный на разработчиков и специалистов по международной торговле. Пользователям предлагается платная подписка стоимостью от 9,9 до 95,9 юаня, якобы открывающая доступ к VPN-возможностям. Однако, по словам исследователя Socket Куша Пандьи, после оплаты расширение начинает работать как прокси-сервер с атакой типа «человек посередине» (MitM), перехватывая весь интернет-трафик и передавая данные злоумышленникам.
При активации платной версии автоматически включается функция smarty-proxy, в результате чего трафик более чем 170 популярных доменов направляется через серверы атакующих. Среди них — GitHub, Stack Overflow, Docker, облачные сервисы AWS, Azure и DigitalOcean, а также платформы Cisco, IBM и VMware.
Исследователи отмечают, что расширение частично выполняет заявленные функции и отображает параметры соединения, создавая иллюзию легитимности. При этом внутри аддона обнаружены изменённые JavaScript-библиотеки, которые автоматически подставляют заранее заданные учетные данные прокси при HTTP-аутентификации. Через PAC-скрипт расширение настраивает прокси, получает доступ MitM и перехватывает конфиденциальные данные — логины, пароли, cookies, данные форм, API-ключи, токены и номера банковских карт. Кроме того, каждые пять минут на сервер злоумышленников в незашифрованном виде отправляются адрес электронной почты и пароль пользователя.
В Socket подчеркивают, что схема реализована на высоком уровне: подписочная модель приносит доход, а правдоподобный интерфейс снижает уровень подозрений. Эксперты настоятельно рекомендуют удалить Phantom Shuttle при обнаружении и предупреждают компании и ИБ-специалистов о растущих угрозах, связанных с использованием браузерных расширений.
