导语:这两款插件仍在Chrome官方应用商店上架,且至少自2017年起便已活跃。
Chrome应用商店中两款名为“Phantom Shuttle”的扩展程序,正伪装成代理服务插件,暗中劫持用户网络流量并窃取敏感数据。
据研究人员报告显示,这两款插件仍在Chrome官方应用商店上架,且至少自2017年起便已活跃。
Phantom Shuttle的目标用户多为需要测试不同地区网络连通性的外贸从业者。两款插件由同一开发者发布,均以“可代理流量、测试网速”为宣传点,订阅价格在1.4至13.6美元之间。
Chrome 应用商店中的Phantom Shuttle扩展程序
隐秘的数据窃取功能
Socket.dev研究人员指出,Phantom Shuttle会将用户所有网络流量路由至攻击者控制的代理服务器,且通过硬编码凭证实现访问——相关恶意代码被嵌入到合法的jQuery库中,以规避检测。
恶意代码采用自定义字符索引编码方案隐藏硬编码的代理凭证,并通过网络流量监听器,拦截所有网站的HTTP认证请求。为强制用户流量经由攻击者代理传输,该恶意插件会通过自动配置脚本,动态修改Chrome浏览器的代理设置。
在默认的“智能模式”下,插件会将170余个高价值域名的流量路由至代理网络,涵盖开发者平台、云服务控制台、社交媒体网站及成人内容门户等。本地网络与命令控制域名则被列入排除清单,以此避免攻击行为中断或被检测发现。
作为中间人,该插件可捕获各类表单数据(包括账户凭证、银行卡信息、密码、个人信息等),窃取HTTP头中的会话Cookie,并从请求中提取API令牌。
研究人员建议Chrome用户:仅信任知名开发者发布的扩展程序,安装前查看多方用户评价,并留意插件申请的权限范围,避免因恶意插件导致数据泄露。
文章来源自:https://www.bleepingcomputer.com/news/security/malicious-extensions-in-chrome-web-store-steal-user-credentials/如若转载,请注明原文地址
