Cảnh báo tiện ích mở rộng độc hại trên Chrome Web Store đánh cắp thông tin đăng nhập của người dùng

Hai tiện ích mở rộng của Chrome trên Web Store có cùng tên là Phantom Shuttle đang giả mạo là các plugin cho dịch vụ proxy, để chiếm đoạt lưu lượng truy cập của người dùng và đánh cắp dữ liệu nhạy cảm.

Theo báo cáo đến từ Công ty bảo mật chuỗi cung ứng Socket (Mỹ), cả hai tiện ích mở rộng hoạt động ít nhất kể từ năm 2017 và hiện vẫn đang tồn tại trên cửa hàng ứng dụng chính thức của Chrome.

Đối tượng mục tiêu của Phantom Shuttle là người dùng tại Trung Quốc. Cả hai tiện ích này đều được phát hành dưới cùng một tên nhà phát triển và được quảng bá là các công cụ có thể chuyển tiếp lưu lượng truy cập và kiểm tra tốc độ mạng. Chúng có sẵn dưới dạng gói đăng ký với giá từ 1,4 USD đến 13,6 USD.

Tiện ích mở rộng Phantom Shuttle trên Chrome Web Store

Các nhà nghiên cứu của Socket cho biết, Phantom Shuttle định tuyến tất cả lưu lượng truy cập web của người dùng thông qua các máy chủ proxy do kẻ tấn công kiểm soát, có thể truy cập bằng thông tin đăng nhập được mã hóa cứng. Đoạn mã thực hiện việc này được chèn vào thư viện jQuery hợp pháp.

Mã độc che giấu thông tin đăng nhập proxy bằng cách sử dụng lược đồ mã hóa chỉ mục ký tự tùy chỉnh. Thông qua trình lắng nghe lưu lượng truy cập web, các tiện ích mở rộng có thể chặn các request xác thực HTTP trên mọi trang web.

Để tự động chuyển hướng lưu lượng truy cập của người dùng qua các máy chủ proxy của kẻ tấn công, các tiện ích mở rộng độc hại sẽ tự động cấu hình lại cài đặt proxy của Chrome bằng cách sử dụng một tập lệnh tự động cấu hình.

Ở chế độ “smarty” mặc định, nó định tuyến hơn 170 tên miền có giá trị cao thông qua mạng proxy, bao gồm các nền tảng dành cho nhà phát triển, bảng điều khiển dịch vụ đám mây và các trang mạng xã hội. Danh sách loại trừ gồm các mạng cục bộ và tên miền máy chủ điều khiển và ra lệnh (C2), nhằm tránh gây gián đoạn và bị phát hiện.

Trong khi đóng vai trò là kẻ trung gian, tiện ích mở rộng này có thể thu thập dữ liệu từ bất kỳ hình thức nào (thông tin đăng nhập, chi tiết thẻ, mật khẩu, thông tin cá nhân), đánh cắp cookie phiên từ HTTP header và trích xuất API token từ các request.

Người dùng Chrome được khuyến cáo chỉ nên tin tưởng các tiện ích mở rộng từ các nhà phát hành uy tín, kiểm tra nhiều đánh giá khác nhau và chú ý đến các quyền được yêu cầu khi cài đặt.