Два розширення для Google Chrome під назвою Phantom Shuttle, що роками позиціонувалися як легітимний проксі-сервіс для перевірки швидкості з’єднання, виявилися елементами довготривалої шкідливої кампанії. Замість заявленої функціональності вони перехоплюють веб-трафік користувачів і непомітно збирають конфіденційні дані. За спостереженнями дослідників компанії Socket, активність цих розширень простежується щонайменше з 2017 року, що свідчить про добре продуману та відносно успішну операцію.
Цільова аудиторія Phantom Shuttle та схема маскування під легальний сервіс
Основний фокус Phantom Shuttle — користувачі з Китаю, зокрема співробітники зовнішньоторговельних і логістичних компаній, яким потрібно перевіряти доступність ресурсів з різних регіонів країни. У такій професійній аудиторії використання проксі та інструментів для діагностики мережевих затримок є звичною практикою, тому розширення органічно вбудовуються в робочі процеси.
Обидва доповнення опубліковані в Chrome Web Store від одного розробника та рекламуються як сервіси для поксірування трафіку й моніторингу якості мережі. Доступ до повного функціоналу відкривається за платною підпискою в діапазоні приблизно від 1,4 до 13,6 долара США. Така монетизація створює враження звичайного комерційного продукту й знижує рівень підозри, оскільки шкідливі програми рідко асоціюються у користувачів із підписною моделлю.
Як Phantom Shuttle отримує контроль над трафіком Chrome
Керовані проксі та прихована інтеграція в бібліотеку jQuery
Ключова технічна особливість Phantom Shuttle полягає в тому, що розширення перенаправляють весь або значну частину трафіку Chrome через проксі-сервери, підконтрольні зловмисникам. Для доступу до цих серверів використовуються жорстко закодовані облікові дані, а шкідливий код вбудовано на початку популярної бібліотеки jQuery, яку розширення підвантажує разом з іншими скриптами.
Розробники застосували кастомну схему кодування символів за індексом, щоб замаскувати вбудовані логіни, паролі та параметри конфігурації. Такий підхід ускладнює статичний аналіз коду і дозволяє обійти базові механізми перевірки в Chrome Web Store, які орієнтуються на пошук явних сигнатур шкідливої активності.
PAC-скрипти, «розумний» вибір доменів і мінімізація шуму
Для автоматичного спрямування потрібних запитів через свої вузли Phantom Shuttle динамічно змінює налаштування проксі в Chrome за допомогою PAC-скрипта (Proxy Auto-Configuration). PAC-файл містить логіку, яка визначає, для яких доменів та URL використовувати проксі, а для яких — пряме підключення, що дає зловмисникам гнучкий і точний контроль.
У типовому режимі, позначеному як smarty mode, через проксі направляється трафік більш ніж до 170 доменів. Серед них — платформи для розробників, консолі хмарних провайдерів, соціальні мережі та сайти з контентом для дорослих. Такі категорії ресурсів часто використовуються для аутентифікації, управління API-ключами, роботи з репозиторіями коду та особистими кабінетами, тому там концентрується найбільш цінна інформація.
При цьому до списку виключень додано локальні мережеві адреси та домен сервера управління (C2) самих зловмисників. Це зменшує ризик помітних збоїв у роботі інфраструктури атакуючих і знижує шанс, що аномальна активність буде легко виявлена засобами моніторингу мережі.
Які дані викрадають розширення Phantom Shuttle
Завдяки вбудованому обробнику веб-трафіку Phantom Shuttle перехоплює HTTP-запити, пов’язані з аутентифікацією та іншими чутливими операціями на сайтах, які відвідує жертва. У результаті атакуючі можуть отримати доступ до широкого спектра даних:
- облікові записи — логіни та паролі до онлайн-сервісів;
- реквізити банківських карток і вміст платіжних форм;
- персональна та контактна інформація користувача;
- сесійні cookie, що передаються в HTTP-заголовках;
- API-токени та ключі доступу, які використовуються веб-додатками та сервісами.
Наявність сесійних cookie та дійсних токенів доступу особливо небезпечна, оскільки в багатьох сценаріях це дає можливість обійти двофакторну аутентифікацію і авторизуватися від імені жертви без введення пароля або одноразового коду. Для корпоративних облікових записів, пов’язаних із хмарною інфраструктурою чи системами розробки, наслідки можуть включати компрометацію вихідного коду, витік клієнтських баз і фінансові збитки.
Чому шкідливі розширення досі проникають у Chrome Web Store
Попри постійний розвиток механізмів модерації, Chrome Web Store регулярно використовується як канал розповсюдження шкідливих розширень. Кампанія Phantom Shuttle демонструє комбінацію прийомів, які ускладнюють своєчасне виявлення загроз:
- переконлива «легенда» про сервіс для роботи з проксі та тестування мережі, актуальний для цільової аудиторії;
- наявність платної підписки, що створює враження законного комерційного продукту;
- використання популярних бібліотек (як-от jQuery) як контейнера для прихованого коду;
- маскування налаштувань, облікових записів і доменів через власні схеми кодування.
За відкритими звітами Google та незалежних дослідників, щороку виявляються нові сімейства шкідливих розширень, які минають початкові перевірки магазину. У випадку з Phantom Shuttle обидва доповнення ще деякий час залишалися доступними в Chrome Web Store навіть після публікації результатів аналізу Socket, що підкреслює складність оперативного реагування на подібні кампанії.
Практичні рекомендації: як захистити браузер від шкідливих розширень
Щоб знизити ризик компрометації через розширення, користувачам і організаціям доцільно впровадити низку базових, але ефективних практик:
- Скорочувати кількість розширень: тримати встановленими лише ті, що дійсно потрібні, та регулярно переглядати список, видаляючи застарілі й невикористовувані.
- Пильно перевіряти розробника, кількість інсталяцій, рейтинг, відгуки та запитувані дозволи перед встановленням будь-якого доповнення.
- Уникати розширень, які вимагають повного доступу до даних на всіх відвідуваних сайтах, якщо без такого рівня прав їх робота можлива.
- У корпоративному середовищі застосовувати централізовані політики для Chrome (наприклад, через Active Directory або Google Admin), дозволяючи інсталяцію лише з затвердженого списку.
- Використовувати Web Proxy / Secure Web Gateway, системи моніторингу та EDR для виявлення аномальних з’єднань, підозрілих змін проксі-налаштувань і нестандартних PAC-скриптів.
- Проводити навчання співробітників щодо ризиків, пов’язаних із VPN-, проксі- та «прискорювачами мережі», особливо якщо вони встановлюються як браузерні розширення.
Історія з Phantom Shuttle нагадує, що навіть офіційні магазини розширень не можуть гарантувати абсолютної безпеки. Відповідальне ставлення до вибору інструментів, регулярний аудит встановлених доповнень та контроль браузерної інфраструктури залишаються критично важливими. Варто вже зараз переглянути власний список розширень Chrome, особливу увагу приділивши всім рішенням для проксі, VPN і керування трафіком, та оновити внутрішні політики кібербезпеки з урахуванням подібних загроз.
