Исследователи по кибербезопасности обнаружили два вредоносных расширения для Google Chrome, которые маскируются под полезный инструмент, но на самом деле перехватывают сетевой трафик и похищают данные логина с множества сайтов.
Эти расширения были опубликованы под одним и тем же названием и тем же разработчиком и рекламируются как VPN расширение для разработчиков и специалистов.
Подробности о расширениях:
Phantom Shuttle (ID: fbfldogmkadejddihifklefknmikncaj) - около 2000 пользователей
Phantom Shuttle (ID: ocpcmfmiidofonkbodpdhgddhlcmcofd) - около 180 пользователей
Пользователи платят подписку от 9,9 до 95,9 юаней (примерно $1,40–$13,50), полагая, что получают легальный VPN-сервис. На самом деле после оплаты расширения включают режим "smarty proxy", который перенаправляет трафик через удалённый сервер злоумышленника и позволяет проводить атаки "man-in-the-middle" и перехват аутентификационных данных.
Расширения выглядят работающими и они действительно проводят тесты задержки соединения и показывают статус подключения. Но в код были внедрены скрытые изменения, которые модифицируют основные JavaScript-библиотеки и автоматически вставляют жёстко заданные прокси-учётные данные в запросы HTTP-аутентификации.
Когда сайт запрашивает аутентификацию (например через Basic Auth), расширение отвечает с этими поддельными данными без участия пользователя, что позволяет перехватывать трафик и доступ к данным.
После установки расширение меняет настройки прокси браузера с помощью PAC-скрипта. Существует три режима:
close - прокси отключён
always - весь трафик идёт через прокси
smarty - через прокси идут запросы к более чем 170 сайтам высокого приоритета, включая сервисы для разработчиков, облачные платформы, соцсети и даже сайты для взрослых.
Такое поведение даёт злоумышленнику полную позицию "man-in-the-middle", позволяя перехватывать пароли, токены доступа, номера карт, историю браузера и другие чувствительные данные.
Расследователи не установили, кто стоит за этой операцией, но указывают на использование китайского языка в описании, интеграцию платежей через Alipay/WeChat и размещение серверов на инфраструктуре Alibaba, что может указывать на базу злоумышленников в Китае.
Источник: HN