Extensões do Chrome, que deveriam tornar seu navegador mais útil, tornaram-se silenciosamente uma das formas mais fáceis para atacantes espionarem suas atividades online.
Pesquisadores de segurança descobriram recentemente duas extensões que realizam exatamente isso há anos. As extensões aparentavam ser ferramentas inofensivas de proxy, mas, na prática, sequestravam o tráfego e roubavam dados sensíveis dos usuários que nelas confiavam. O agravante é que ambas estavam disponíveis na loja oficial de extensões do Chrome.
Pesquisadores da Socket identificaram duas extensões com o mesmo nome, "Phantom Shuttle", apresentadas como ferramentas para proxy e testes de velocidade de rede.
Em atividade desde pelo menos 2017, ambas foram criadas pelo mesmo desenvolvedor e tinham como público trabalhadores de comércio exterior que precisam testar conexões de diferentes regiões, oferecendo planos por assinatura que variavam entre US$ 1,40 e US$ 13,60.
À primeira vista, tudo parecia legítimo: descrições condizentes com as funções e preços razoáveis.
O problema estava no que ocorria após a instalação.
Segundo os pesquisadores, o Phantom Shuttle redireciona todo o tráfego web do usuário por servidores proxy controlados pelos atacantes.
Para isso, as credenciais do proxy estão embutidas diretamente no código das extensões, mas para evitar detecção, essa lógica maliciosa está oculta dentro de uma biblioteca jQuery aparentemente legítima. Além disso, as credenciais não ficam em texto simples; são codificadas por meio de um esquema personalizado de caracteres. Com a extensão ativa, ela intercepta solicitações de autenticação HTTP em qualquer site visitado. Para garantir que o tráfego passe sempre pela infraestrutura dos invasores, as extensões reconfiguram dinamicamente as configurações de proxy do Chrome por meio de um script de auto-configuração.
No modo padrão, chamado "smarty", o Phantom Shuttle direciona o tráfego de mais de 170 domínios considerados de alto valor — incluindo plataformas de desenvolvimento, serviços em nuvem, redes sociais e sites de conteúdo adulto. Redes locais e o domínio usado para comando e controle dos atacantes são excluídos, provavelmente para evitar falhas ou suspeitas. Enquanto age como um intermediário (man-in-the-middle), a extensão captura tudo que o usuário insere em formulários: nomes de usuário, senhas, dados de cartão, informações pessoais, cookies de sessão e tokens de API oriundos das requisições de rede.
Em contato com o Google, a empresa confirmou que ambas as extensões foram removidas da Chrome Web Store.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...