Δύο ψεύτικες επεκτάσεις του Chrome με την ονομασία “Phantom Shuttle” εξαπατούν χιλιάδες χρήστες παριστάνοντας τις νόμιμες υπηρεσίες VPN, ενώ παρεμποδίζουν κρυφά την κυκλοφορία τους στον ιστό και κλέβουν ευαίσθητες πληροφορίες σύνδεσης.
Αυτές οι κακόβουλες επεκτάσεις, ενεργές από το 2017, έχουν διανεμηθεί σε περισσότερους από 2.180 χρήστες μέσω του Chrome Web Store, όπου συνεχίζουν να λειτουργούν απαρατήρητα.
Ο παράγοντας απειλής πίσω από το σχέδιο χρησιμοποιεί το email theknewone.com@gmail[.]com για να δημοσιεύσει και τις δύο παραλλαγές επέκτασης, οι οποίες λειτουργούν πανομοιότυπα παρόλο που έχουν διαφορετικές εμφανίσεις.
Τα θύματα δεν γνωρίζουν ότι εκτελούν κακόβουλο λογισμικό που παρακολουθεί όλη τη διαδικτυακή τους δραστηριότητα και στέλνει συνεχώς τα διαπιστευτήριά τους σε διακομιστές που ελέγχονται από τους εισβολείς.
Οι επεκτάσεις εμπορεύονται ως «προσθήκες δοκιμής ταχύτητας δικτύου πολλαπλών τοποθεσιών» σχεδιασμένες για προγραμματιστές και Κινέζους εργαζομένους στο εμπόριο.
Οι χρήστες αγοράζουν συνδρομές που κυμαίνονται από 9,9 έως 95,9 γιουάν (περίπου 1,40 έως 13,50 USD) μέσω νόμιμων μεθόδων πληρωμής, συμπεριλαμβανομένων των Alipay και WeChat Pay.
Λαμβάνουν λειτουργικές υπηρεσίες διακομιστή μεσολάβησης που φαίνεται να λειτουργούν όπως διαφημίζονται, εκτελώντας δοκιμές πραγματικού λανθάνοντος χρόνου και εμφανίζοντας την κατάσταση σύνδεσης.
Αυτή η εμπορική πρόσοψη δημιουργεί μια ψευδή αίσθηση ασφάλειας ενώ κρύβει την καταστροφική, κακόβουλη δραστηριότητα που συμβαίνει στο παρασκήνιο.
Αναλυτές Socket.dev αναγνωρισθείς ότι οι επεκτάσεις εκτελούν πλήρη παρακολούθηση της κυκλοφορίας μέσω ενός εξελιγμένου μηχανισμού έγχυσης διαπιστευτηρίων.
Οι επεκτάσεις παρεμποδίζουν αυτόματα κάθε αίτημα ελέγχου ταυτότητας HTTP σε όλους τους ιστότοπους και εισάγουν διαπιστευτήρια διακομιστή μεσολάβησης με σκληρό κώδικα (όνομα χρήστη: topfany, κωδικός πρόσβασης: 963852wei) χωρίς τη γνώση του χρήστη.
Αυτό επιτρέπει στους εισβολείς να ανακατευθύνουν όλη την κίνηση περιήγησης μέσω των δικών τους διακομιστών μεσολάβησης, δημιουργώντας ουσιαστικά μια επίθεση man-in-the-middle.
Ο Μηχανισμός Αυθεντικοποίησης Πειρατείας
Ο κακόβουλος κώδικας είναι κρυμμένος μέσα σε τροποποιημένες βιβλιοθήκες JavaScript που συνοδεύουν την επέκταση, συγκεκριμένα jquery-1.12.2.min.js και scripts.js.
Οι ερευνητές διαπίστωσαν ότι οι επεκτάσεις χρησιμοποιούν ένα προσαρμοσμένο σχήμα κωδικοποίησης ευρετηρίου χαρακτήρων για να αποκρύψουν τα διαπιστευτήρια του διακομιστή μεσολάβησης με σκληρό κώδικα, καθιστώντας έτσι πιο δύσκολο τον εντοπισμό τους κατά την ανάλυση ασφαλείας.
Ο κώδικας καταχωρεί έναν ακροατή στο chrome.webRequest.onAuthRequired, ο οποίος παρεμποδίζει τις προκλήσεις ελέγχου ταυτότητας προτού οι χρήστες δουν τυχόν μηνύματα.
Όταν ενεργοποιείται, ο ακροατής ανταποκρίνεται αυτόματα με τα κωδικοποιημένα διαπιστευτήρια χρησιμοποιώντας τη λειτουργία asyncBlocking, διασφαλίζοντας ότι η απόκριση πραγματοποιείται συγχρονισμένα χωρίς να δίνεται στους χρήστες καμία ευκαιρία να παρέμβουν.
Η επέκταση διατηρεί έναν καρδιακό παλμό 60 δευτερολέπτων στον διακομιστή C2 στο phantomshuttle.space, εξελίσσοντας συνεχώς δεδομένα χρήστη.
Κατά τη διάρκεια κάθε μετάδοσης καρδιακών παλμών και ελέγχου κατάστασης VIP, η επέκταση στέλνει διευθύνσεις email και κωδικούς πρόσβασης χρήστη σε απλό κείμενο στην υποδομή του εισβολέα, κάτι που συμβαίνει κάθε πέντε λεπτά για τους ενεργούς χρήστες.
Η επέκταση παραμένει σε λειτουργία από τις 23 Δεκεμβρίου 2025 και το Socket.dev έχει υποβάλει αιτήματα κατάργησης στην ομάδα ασφαλείας του Chrome Web Store της Google.
Οι χρήστες που εγκατέστησαν αυτές τις επεκτάσεις θα πρέπει να τις απεγκαταστήσουν αμέσως και να αλλάξουν όλους τους κωδικούς πρόσβασης που χρησιμοποιούνται στα προγράμματα περιήγησής τους.
Related Posts
Χάκερ που χρησιμοποιούν το νέο Matrix Push C2 για να παραδώσουν επιθέσεις κακόβουλου λογισμικού και phishing μέσω προγράμματος περιήγησης στο Web
Το Chrome διορθώνει ευπάθεια υλοποίησης υψηλής σοβαρότητας στη μηχανή JavaScript V8
Κακόβουλη επέκταση Chrome καθώς το πορτοφόλι Ethereum ενεργοποιεί την πλήρη κατάληψη του πορτοφολιού
