Dvije Chrome ekstenzije dostupne u zvaničnoj Chrome Web prodavnici, obje pod nazivom Phantom Shuttle, predstavljaju se kao alati za korištenje proxy servisa, ali u stvarnosti presreću internet saobraćaj korisnika i kradu osjetljive podatke, piše Bleeping Computer.
Prema izvještaju istraživača sa platforme za bezbjednost Socket, obe ekstenzije su aktivne najmanje od 2017. godine i u trenutku pisanja teksta i dalje su dostupne u Chrome Web Store-u. Objavljene su pod istim imenom developera i reklamiraju se kao alati za testiranje brzine mreže i rutiranje saobraćaja preko proxy servera, uz pretplatu koja se kreće od 1,4 do 13,6 dolara.
Meta ovih ekstenzija su korisnici u Kini, uključujući i radnike u spoljnoj trgovini kojima je potrebno testiranje konekcije sa različitih lokacija unutar zemlje. Istraživači navode da Phantom Shuttle sav korisnički web saobraćaj preusmjerava kroz proxy servere koje kontroliše napadač, koristeći unaprijed ugrađene (hardkodirane) pristupne podatke. Zlonamjerni kod dodat je ispred legitimne jQuery biblioteke kako bi se prikrio.
Ekstenzije skrivaju proxy akreditive pomoću prilagođene šeme kodiranja i presreću HTTP autentifikacione zahteve na svim posećenim sajtovima. Kako bi se saobraćaj automatski preusmeravao, zlonamerni dodaci dinamički mijenjaju Chrome proxy podešavanja pomoću skripte za automatsku konfiguraciju.
U podrazumijevanom režimu rada, više od 170 domena – uključujući razvojne platforme, konzole cloud servisa, društvene mreže i sajtove sa sadržajem za odrasle – rutira se kroz mrežu proxy servera napadača. Lokalna mreža i domen za komandno-kontrolnu komunikaciju izuzeti su kako bi se izbjegli poremećaji i detekcija, prenosi Pc Press.
Kao posrednik između korisnika i interneta, ekstenzija može da prikuplja podatke iz obrazaca (korisnička imena, lozinke, podaci o karticama), krade sesijske kolačiće iz HTTP zaglavlja i izvlači API tokene iz zahtjeva.
Portal Bleeping Computer je kontaktirao Google povodom činjenice da se ekstenzije i dalje nalaze u prodavnici, ali odgovor u trenutku objavljivanja nije bio dostupan. Korisnicima Chrome-a se savjetuje da instaliraju isključivo dodatke pouzdanih izdavača, provjeravaju korisničke recenzije i pažljivo analiziraju dozvole koje ekstenzije zahtijevaju prilikom instalacije.
Skandalozno: Meso za preradu iz Argentine u maloprodaji u RS?
