Zwei unter dem Namen Phantom Shuttle im Chrome Web Store angebotene Erweiterungen entpuppen sich als hochgradig gefährliche Browser-Malware. Statt wie beworben Proxy-Funktionen und Netzwerktests bereitzustellen, übernehmen sie unbemerkt die Kontrolle über den Web-Traffic der Nutzer und greifen sensible Informationen ab – von Login-Daten bis hin zu API-Tokens.
Zielgruppe China: Tarnung als legitimer Proxy- und Netzwerktest-Service
Nach Analysen des Sicherheitsunternehmens Socket sind die Phantom-Shuttle-Erweiterungen mindestens seit 2017 aktiv. Im Fokus stehen vor allem Nutzer in China, darunter Mitarbeitende von Außenhandels- und Internetfirmen, die regelmäßig den Zugriff auf Websites aus verschiedenen Regionen testen müssen. Dort fügt sich ein „professionelles“ Proxy- und Speedtest-Tool nahtlos in alltägliche Workflows ein.
Beide Erweiterungen werden über einen gemeinsamen Entwickler-Account im Chrome Web Store verteilt und als Service zum Proxying von Traffic und Monitoring der Netzwerkqualität vermarktet. Ein kostenpflichtiges Abomodell mit Preisen zwischen rund 1,4 und 13,6 US-Dollar verstärkt den Eindruck eines legitimen, kommerziellen Produkts. Diese geschickt aufgebaute Fassade senkt die Hemmschwelle zur Installation erheblich.
Technische Analyse: Vollständige Verkehrskontrolle über manipulierte Proxys
Missbrauch von Proxy-Infrastruktur und verschleierter Schadcode
Kern des Angriffs ist die Umleitung des gesamten oder eines großen Teils des Chrome-Traffics über vom Angreifer kontrollierte Proxy-Server. Die Erweiterungen greifen dabei auf fest im Code hinterlegte Zugangsdaten zurück, um sich mit diesen Proxys zu verbinden. Besonders kritisch: Der Schadcode ist am Anfang der weit verbreiteten JavaScript-Bibliothek jQuery eingebettet.
Da jQuery in vielen Webprojekten verwendet wird, fällt ein kurzer, obfuszierter Codeblock am Anfang der Datei bei oberflächlichen Kontrollen kaum auf. Zusätzliche Tarnung bietet eine eigene Zeichencodierung auf Basis von Indexwerten, mit der Konfigurationsdaten und Proxy-Zugangsdaten verschlüsselt werden. Dadurch werden einfache Signatur- und String-Suchen ausgehebelt und automatisierte Prüfprozesse deutlich erschwert.
PAC-Skripte und „smarty mode“: Selektive Kontrolle des Datenverkehrs
Um den Datenverkehr flexibel zu steuern, verändern die Erweiterungen dynamisch die Proxy-Einstellungen von Chrome mittels PAC-Skript (Proxy Auto-Configuration). Ein PAC-Skript ist eine JavaScript-Datei, die für jede angefragte URL entscheidet, ob diese direkt oder über einen Proxy aufgerufen wird. Phantom Shuttle nutzt dies, um gezielt nur besonders interessante Ziele durch die eigenen Proxy-Server zu leiten.
Im Standardmodus, bezeichnet als „smarty mode“, werden Anfragen an mehr als 170 ausgewählte Domains über die Angreiferinfrastruktur umgeleitet. Dazu zählen Developer-Plattformen, Cloud-Konsolen, Social-Media-Dienste und Webseiten mit Erwachsenen-Inhalten. Diese Auswahl ist sicherheitsrelevant: gerade dort laufen häufig Logins, OAuth-Flows, Token-Austausch und andere Vorgänge, bei denen besonders schützenswerte Daten übertragen werden.
Ausgenommen von der Umleitung sind explizit lokale Netzwerke sowie der eigene Command-and-Control-Server (C2) der Angreifer. Dadurch wird das Risiko technischer Auffälligkeiten reduziert, die eine Analyse oder Entdeckung erleichtern könnten – etwa plötzlich „verschwundene“ interne Ressourcen oder auffällige Schleifen im C2-Traffic.
Diebstahl von Zugangsdaten, Session-Cookies und API-Tokens
Über die so etablierte Position im Datenpfad kann Phantom Shuttle alle relevanten HTTP-Requests einsehen. Die Erweiterungen fangen Authentifizierungsanfragen und Formularübermittlungen zu beliebigen Websites ab und ermöglichen den Angreifern den Zugriff auf:
- Nutzernamen und Passwörter unterschiedlichster Accounts,
- Zahlungsdaten und Kreditkarteninformationen,
- personenbezogene und Kontaktdaten,
- Session-Cookies aus HTTP-Headern,
- API- und Zugriffstokens von Webanwendungen und Cloud-Diensten.
Besonders gefährlich sind gültige Session-Cookies und Zugriffstokens. In vielen Fällen erlauben sie eine vollständige Kontoübernahme, ohne dass Passwörter erneut eingegeben oder zwei Faktor-Authentifizierung (2FA) durchlaufen werden muss. Damit hebelt Phantom Shuttle zentrale Sicherheitsmechanismen moderner Online-Dienste effektiv aus.
Chrome-Erweiterungen als unterschätzter Angriffsvektor
Der Fall Phantom Shuttle unterstreicht ein strukturelles Problem: Offizielle App-Stores sind keine Garantien für Sicherheit. Trotz automatischer Scans und manueller Prüfungen gelangen regelmäßig bösartige Erweiterungen in den Chrome Web Store. In den vergangenen Jahren mussten immer wieder heimlich nachladende Adware- und Spyware-Plugins nachträglich in großer Zahl entfernt werden.
Angreifer kombinieren dabei mehrere Taktiken, die auch hier sichtbar werden: ein scheinbar plausibles Geschäftsmodell, Monetarisierung über Abos zur Erhöhung der Glaubwürdigkeit und versteckter Schadcode, der in verbreitete Bibliotheken eingepflanzt wird. Diese Kombination macht die klassische „Checkliste“ vieler Anwender – guter Rating-Score, viele Nutzer, professionelle Beschreibung – weitgehend wirkungslos.
Empfehlungen: So reduzieren Unternehmen und Nutzer ihr Risiko
Um das Risiko durch bösartige Chrome-Erweiterungen wie Phantom Shuttle zu minimieren, sollten folgende Maßnahmen etabliert werden:
- Erweiterungen strikt begrenzen: Nur Add-ons installieren, die wirklich geschäftskritisch oder funktional notwendig sind. Regelmäßige manuelle Überprüfung und radikales „Aufräumen“ nicht benötigter Plugins.
- Entwickler und Berechtigungen prüfen: Vor der Installation Entwicklerprofil, Bewertungen, Downloadzahlen und vor allem die angeforderten Berechtigungen sorgfältig prüfen. Misstrauen ist angebracht, wenn ein Tool umfangreichen Zugriff auf „Daten auf allen besuchten Websites“ verlangt, obwohl dies für die Kernfunktion nicht zwingend ist.
- Zentrale Richtlinien in Unternehmen: In Unternehmensumgebungen sollten Chrome-Policies genutzt werden, um ausschließlich einen whitelist-basierten Katalog freigegebener Erweiterungen zuzulassen. Installation außerhalb dieser Liste sollte technisch unterbunden werden.
- Netzwerkseitige Überwachung: Lösungen wie Secure Web Gateways, Web-Proxys oder Cloud-Security-Plattformen können helfen, unerwartete Proxy-Konfigurationen und verdächtige Verbindungen zu identifizieren, etwa wenn plötzlich Traffic über unbekannte Proxy-Hosts fließt.
- Sensibilisierung der Mitarbeitenden: Schulungen sollten explizit den Umgang mit Browser-Erweiterungen, VPN- und Proxy-Tools adressieren, da diese Werkzeuge besonders häufig missbraucht werden, um Traffic zu manipulieren.
Phantom Shuttle zeigt exemplarisch, wie professionell getarnte Chrome-Erweiterungs-Malware dauerhafte Zugänge zu Konten und Infrastrukturen schaffen kann. Wer die Angriffsfläche „Browser“ ernst nimmt, Architektur und Richtlinien anpasst und seine Belegschaft kontinuierlich sensibilisiert, reduziert das Risiko signifikant. Es lohnt sich, Browser-Add-ons künftig mit derselben Sorgfalt zu behandeln wie ausführbare Programme – und aktuelle Sicherheitsmeldungen zu neuen Mal Kampagnen aktiv zu verfolgen.
