Duas extensões para Chrome, ambas chamadas "Phantom Shuttle", estão disponíveis na Chrome Web Store se passando por ferramentas de proxy, mas, na realidade, realizam atividades maliciosas para sequestrar o tráfego dos usuários e roubar dados sensíveis.
Essas extensões permanecem ativas na loja oficial do Chrome até o momento, com funcionamento confirmado desde pelo menos 2017, segundo pesquisadores da plataforma de segurança de cadeia de suprimentos Socket.dev.
O público-alvo do Phantom Shuttle são usuários na China, especialmente profissionais do comércio exterior que precisam testar a conectividade a partir de diferentes regiões do país.
Publicadas sob o mesmo nome de desenvolvedor, as extensões são oferecidas como serviços de proxy e análise de velocidade de rede, com assinaturas que variam entre US$ 1,40 e US$ 13,60.
De acordo com os pesquisadores da Socket.dev, o Phantom Shuttle redireciona todo o tráfego web do usuário por proxies controlados pelo invasor, cujas credenciais estão embutidas diretamente no código.
Essa funcionalidade maliciosa é inserida antes da biblioteca legítima jQuery.
Para ocultar as credenciais codificadas, o código utiliza um esquema personalizado de codificação baseado em índices de caracteres.
Por meio de um listener de tráfego web, as extensões interceptam desafios de autenticação HTTP em qualquer site visitado.
Para garantir que o tráfego dos usuários seja automaticamente direcionado pelos proxies do atacante, as extensões reconfiguram dinamicamente as configurações de proxy do Chrome, utilizando scripts de auto-configuração.
No modo padrão, chamado “smarty”, mais de 170 domínios de alto valor têm seu tráfego roteado pela rede de proxies, incluindo plataformas de desenvolvimento, consoles de serviços em nuvem, redes sociais e sites de conteúdo adulto.
Para evitar interrupções e não chamar atenção, redes locais e o domínio de comando e controle do invasor estão na lista de exclusão.
Funcionando como um ataque man-in-the-middle, a extensão pode capturar qualquer dado inserido em formulários — como credenciais de login, dados de cartão, senhas e informações pessoais — além de roubar cookies de sessão presentes nos cabeçalhos HTTP e extrair tokens de API das requisições.
Usuários do Chrome são orientados a instalar apenas extensões de desenvolvedores confiáveis, verificar avaliações de múltiplos usuários e ficar atentos às permissões solicitadas no momento da instalação.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...