Специалисты по кибербезопасности выявили две вредоносные версии расширения Google Chrome Phantom Shuttle, которые маскируются под сервис для тестирования скорости сети, но фактически используются для перехвата интернет-трафика и кражи пользовательских данных. О находке сообщили исследователи компании Socket.
По данным экспертов, оба расширения имеют одинаковое название и опубликованы одним разработчиком, однако отличаются идентификаторами и датами размещения. Первая версия появилась в 2017 году и насчитывает около 2 тыс. установок, вторая была опубликована в 2023 году и используется примерно 180 пользователями. Несмотря на выявленные риски, оба аддона по-прежнему доступны в магазине расширений браузера Google Chrome.
Phantom Shuttle позиционируется как «мультилокационный плагин для тестирования скорости сети», ориентированный на разработчиков и специалистов по внешней торговле. Пользователям предлагается оформить платную подписку стоимостью от 9,9 до 95,9 юаня для доступа к якобы VPN-функциям. Однако, как пояснил исследователь Socket Куш Пандья, после оплаты расширение начинает работать как прокси с функцией «человек посередине» (MitM) и перехватывает весь трафик, регулярно отправляя данные на управляющий сервер злоумышленников.
После активации платного режима пользователю автоматически включается так называемый smarty-proxy. В этом состоянии трафик более чем с 170 популярных доменов перенаправляется через серверы атакующих. В перечень входят GitHub, Stack Overflow, Docker, облачные платформы AWS, Azure и DigitalOcean, а также сервисы Cisco, IBM и VMware. Кроме того, в списке присутствуют социальные сети Facebook и Instagram, принадлежащие компании Meta, а также платформа X (Twitter) и сайты для взрослых.
Исследователи отмечают, что расширение действительно выполняет заявленные функции и отображает показатели соединения, создавая видимость легального сервиса. При этом внутри аддона обнаружены модифицированные JavaScript-библиотеки, которые автоматически подставляют жёстко заданные логин и пароль прокси при HTTP-аутентификации. В результате расширение настраивает прокси через PAC-скрипт, получает позицию MitM, перехватывает логины, пароли, cookies, данные форм, API-ключи, токены и номера банковских карт. Каждые пять минут на сервер злоумышленников в открытом виде передаются адрес электронной почты и пароль пользователя.
В Socket считают, что схема выстроена профессионально: подписочная модель обеспечивает доход, а внешний вид сервиса снижает подозрения. Эксперты рекомендуют немедленно удалить Phantom Shuttle при его наличии и обращают внимание компаний и ИБ-подразделений на растущие риски, связанные с использованием браузерных расширений.