Dos extensiones para Google Chrome, distribuidas bajo el nombre Phantom Shuttle, han sido identificadas como malware de navegador capaz de interceptar tráfico web y robar información confidencial, en lugar de ofrecer el supuesto servicio de proxy. Investigadores de la empresa Socket han rastreado su actividad al menos desde 2017, lo que indica una campaña prolongada y relativamente exitosa contra usuarios y organizaciones.
Extensiones Phantom Shuttle: de herramienta de proxy a vector de espionaje
El principal objetivo de Phantom Shuttle son usuarios en China, especialmente empleados de empresas de comercio exterior que necesitan probar el acceso a sitios desde distintas regiones del país. Bajo la apariencia de una solución legítima para gestionar proxies y medir la calidad de la conexión, las extensiones se integran de forma natural en sus flujos de trabajo diarios.
Ambos complementos aparecen en Chrome Web Store bajo un mismo desarrollador y se presentan como servicios de proxies y monitorización de red. Ofrecen funciones avanzadas mediante suscripciones de pago de entre 1,4 y 13,6 dólares, lo que refuerza la ilusión de un producto comercial legítimo y reduce las sospechas de las víctimas.
Ingeniería social apoyada en la confianza del ecosistema Chrome
El caso Phantom Shuttle ilustra cómo los atacantes explotan la percepción de confianza hacia la tienda oficial de extensiones. La combinación de un caso de uso verosímil (gestión de proxies), modelo de suscripción y una interfaz aparentemente profesional facilita la instalación incluso en entornos corporativos, donde las decisiones suelen basarse en la reputación de la plataforma y no en un análisis profundo de permisos y código.
Detalles técnicos del ataque: control del tráfico y exfiltración de credenciales
Proxies controlados por atacantes y código malicioso oculto
El núcleo de la amenaza reside en que las extensiones redirigen todo o buena parte del tráfico de Chrome a través de proxies bajo control de los atacantes. El acceso a estos servidores se realiza mediante credenciales embebidas (hardcodeadas) en el código de la extensión.
Para dificultar su detección, el código malicioso se inyecta al inicio de la popular biblioteca jQuery, un componente muy común en aplicaciones web y extensiones. Además, los desarrolladores de Phantom Shuttle emplean una codificación personalizada de caracteres basada en índices para ocultar cuentas y parámetros de configuración, con el objetivo de evadir análisis estático y controles automatizados de la Chrome Web Store.
Uso de PAC scripts para seleccionar dominios de alto valor
Phantom Shuttle modifica de forma dinámica las configuraciones de proxy de Chrome mediante un script PAC (Proxy Auto-Configuration). Este mecanismo permite decidir, dominio por dominio, qué tráfico pasa por el proxy malicioso y qué conexiones se realizan de forma directa.
En su modo por defecto, denominado “smarty mode”, el PAC de Phantom Shuttle envía a través de los proxies más de 170 dominios. Entre ellos se encuentran plataformas para desarrolladores, consolas de servicios en la nube, redes sociales y sitios de contenido para adultos, todos ellos contextos donde se manejan credenciales, tokens de acceso y otra información muy sensible.
El script excluye explícitamente las redes locales y el propio dominio del servidor de mando y control (C2) de los atacantes. Esto reduce el riesgo de errores operativos en la infraestructura maliciosa y minimiza patrones anómalos que podrían delatar la infección en sistemas de monitorización de red.
Robo de contraseñas, cookies de sesión y tokens de API
Mediante un interceptador de tráfico web integrado, Phantom Shuttle captura las peticiones HTTP de autenticación generadas al visitar cualquier sitio afectado. Como resultado, los atacantes pueden obtener:
- nombres de usuario y contraseñas;
- datos de tarjetas bancarias y formularios de pago;
- información personal y de contacto;
- cookies de sesión incluidas en las cabeceras HTTP;
- tokens de API y tokens de acceso utilizados por aplicaciones y servicios.
Las cookies de sesión y los tokens de acceso son especialmente críticos, ya que en muchos escenarios permiten eludir la autenticación multifactor (MFA), reutilizando directamente la sesión de la víctima sin necesidad de conocer su contraseña.
Por qué las extensiones maliciosas de Chrome siguen siendo una amenaza
A pesar de los avances en moderación y análisis automático, el Chrome Web Store continúa siendo utilizado para distribuir extensiones maliciosas. Casos como Phantom Shuttle muestran cómo los atacantes combinan:
- un caso de uso creíble orientado a productividad o conectividad;
- monetización mediante suscripción para aparentar legitimidad empresarial;
- código ofuscado incrustado en bibliotecas populares para dificultar su detección.
El hecho de que estas extensiones hayan permanecido activas desde al menos 2017 sugiere que la detección de malware en extensiones de navegador sigue siendo un reto significativo, tanto para los operadores de tiendas oficiales como para los equipos de seguridad corporativos.
Recomendaciones de ciberseguridad para usuarios y organizaciones
Para reducir el riesgo asociado a extensiones maliciosas en Chrome y otros navegadores, es aconsejable adoptar las siguientes medidas:
- Limitar el número de extensiones instaladas y revisar periódicamente su necesidad, eliminando las que no se utilicen.
- Analizar con detalle el desarrollador, las reseñas, la puntuación y los permisos solicitados antes de instalar cualquier extensión.
- Desconfiar de extensiones que piden “acceso a los datos de todos los sitios web que visitas”, salvo que este nivel de permiso sea claramente imprescindible para su función.
- En entornos corporativos, aplicar políticas centralizadas de navegador (por ejemplo, listas blancas de extensiones permitidas en Chrome).
- Utilizar soluciones de Web Proxy / Secure Web Gateway y sistemas de monitorización capaces de detectar cambios anómalos en la configuración de proxy y conexiones a servidores inusuales.
- Formar a los empleados en seguridad del navegador, insistiendo en los riesgos de extensiones de proxy, VPN y gestión de tráfico.
Los navegadores se han convertido en una de las principales puertas de entrada a aplicaciones corporativas y datos críticos. Revisar las extensiones instaladas, aplicar políticas de control y mantenerse informado sobre nuevas campañas como Phantom Shuttle son pasos esenciales para fortalecer la postura de ciberseguridad. Cada usuario y cada organización puede reducir significativamente su superficie de ataque simplemente tratando el navegador como lo que realmente es: un activo estratégico que merece el mismo nivel de protección que cualquier otro endpoint.
