Два расширения для браузера Google Chrome, распространяющиеся под общим названием Phantom Shuttle, были идентифицированы как вредоносные: вместо заявленного функционала прокси-сервиса они незаметно перехватывают веб-трафик пользователей и похищают конфиденциальные данные. По данным исследователей компании Socket, активность этих расширений прослеживается как минимум с 2017 года, что говорит о длительной и достаточно успешной кампании.
Целевая аудитория Phantom Shuttle и модель распространения
Основной фокус Phantom Shuttle — пользователи из Китая, в том числе сотрудники внешнеторговых компаний, которым необходимо тестировать доступ к сайтам из разных регионов страны. Маскируясь под легитимный инструмент для работы с прокси и проверки скорости соединения, расширения органично вписываются в повседневные рабочие сценарии таких специалистов.
Оба дополнения опубликованы в Chrome Web Store от имени одного разработчика и позиционируются как сервисы для проксирования трафика и мониторинга качества сети. Доступ к расширенному функционалу предоставляется по подписке стоимостью от 1,4 до 13,6 доллара США, что усиливает иллюзию легального коммерческого продукта и снижает уровень подозрений у пользователей.
Технические особенности атаки Phantom Shuttle
Полный контроль над трафиком через управляемые прокси
Ключевая особенность Phantom Shuttle заключается в том, что расширения перенаправляют весь или значимую часть трафика Chrome через прокси-серверы, контролируемые злоумышленниками. Доступ к этим прокси осуществляется с использованием жестко закодированных учетных данных, а вредоносный код внедрен в начало популярной библиотеки jQuery, что затрудняет его обнаружение при поверхностном анализе.
Разработчики использовали кастомную схему кодирования символов по индексу для сокрытия встроенных аккаунтов и конфигураций. Это позволяет обходить простые механизмы статического анализа и делает вредоносный код менее заметным для автоматизированных систем проверки расширений.
Динамическая настройка прокси и выбор целевых доменов
Для автоматической маршрутизации трафика через свои узлы Phantom Shuttle динамически изменяет настройки прокси в Chrome с помощью PAC-скрипта (Proxy Auto-Configuration). Это даёт возможность гибко управлять тем, какие запросы должны идти через подконтрольные прокси, а какие — обходить их напрямую.
В режиме по умолчанию, обозначенном как smarty mode, через прокси направляется трафик более чем 170 доменов. Среди них — платформы для разработчиков, консоли облачных сервисов, социальные сети и ресурсы с контентом для взрослых. Такие категории выбраны неслучайно: именно там часто проходят аутентификация, обмен токенами доступа и другие чувствительные операции.
В список исключений добавлены локальные сети и домен управляющего сервера (C2) злоумышленников. Это снижает риск сбоев в работе самой малвари и уменьшает вероятность ее обнаружения по аномалиям в сетевом трафике.
Перехват учетных данных, cookie и API-токенов
Используя встроенный обработчик веб-трафика, расширения Phantom Shuttle перехватывают HTTP-запросы аутентификации к любым сайтам, которые посещает жертва. В результате злоумышленники получают доступ к:
- логинам и паролям от учетных записей;
- реквизитам банковских карт и данным платежных форм;
- личной и контактной информации;
- сессионным cookie из HTTP-заголовков;
- API-токенам, используемым приложениями и сервисами.
Наличие сессионных cookie и токенов доступа особенно опасно: в ряде случаев это позволяет обойти двухфакторную аутентификацию и авторизоваться от имени жертвы без ввода пароля.
Почему вредоносные расширения Chrome остаются проблемой
Несмотря на развитие механизмов модерации и автоматической проверки, Chrome Web Store периодически становится каналом распространения вредоносных расширений. Модель Phantom Shuttle демонстрирует, как злоумышленники используют:
- правдоподобный бизнес-кейс (прокси-сервис и тестирование сети);
- монетизацию по подписке для создания видимости легальности;
- скрытый вредоносный функционал, интегрированный в популярные библиотеки.
По данным Socket, на момент публикации их исследования оба расширения Phantom Shuttle все еще были доступны в Chrome Web Store, что подчеркивает сложность своевременного выявления подобных угроз.
Рекомендации пользователям и компаниям
Чтобы снизить риск компрометации через вредоносные расширения браузера, целесообразно придерживаться следующих практик:
- Минимизировать набор установленных расширений и периодически проводить их ревизию, удаляя все неиспользуемые.
- Внимательно проверять разработчика, рейтинг, отзывы и запрашиваемые разрешения перед установкой.
- Избегать расширений, которые требуют полного доступа к данным на всех посещаемых сайтах, если такой уровень прав не критичен для их работы.
- В корпоративной среде использовать централизованную политику для Chrome, ограничивающую установку расширений до утвержденного списка.
- Применять решения класса Web Proxy / Secure Web Gateway и системы мониторинга, способные выявлять аномальные сетевые соединения и неожиданные прокси-настройки.
Случай Phantom Shuttle наглядно показывает, что даже официальные магазины приложений и расширений не гарантируют полной безопасности. Осознанный выбор инструментов, базовая гигиена кибербезопасности и контроль над браузерной инфраструктурой остаются ключевыми инструментами защиты. Пользователям и организациям имеет смысл регулярно отслеживать новости о новых кампаниях вредоносных расширений, обновлять свои политики безопасности и обучать сотрудников распознавать потенциально опасные плагины, особенно если они связаны с прокси, VPN и управлением трафиком.
