Extensii malițioase ale browserului Chrome
Sursă: https://www.bleepingcomputer.com
Două extensii Chrome din Web Store, numite Phantom Shuttle, se prezintă ca plugin-uri pentru un serviciu proxy pentru a deturna traficul utilizatorilor și a sustrage date sensibile.
Ambele extensii sunt încă prezente pe platforma oficială Chrome și sunt active cel puțin din 2017, potrivit unui raport al unor specialiști.
Ambele extensii sunt publicate sub același nume de dezvoltator și sunt promovate ca instrumente care pot redirecționa traficul și testa viteza rețelei.
Specialiștii afirmă că Phantom Shuttle redirecționează tot traficul web al utilizatorilor prin proxy-uri controlate de atacatori, accesibile prin intermediul unor credențiale hardcodate. Codul care realizează acest lucru este atașat la biblioteca jQuery legitimă.
Codul rău intenționat ascunde datele de autentificare proxy hardcoded folosind un sistem personalizat de codificare a indexului de caractere. Prin intermediul unui program de monitorizare a traficului web, extensiile pot intercepta cererile de autentificare HTTP pe fiecare site web.
Pentru a rula automat traficul utilizatorilor prin proxy-urile atacatorului, extensiile rău intenționate reconfigurează dinamic setările proxy ale Chrome folosind un script de configurare automată.
Pe lista de excludere se află rețelele locale și domeniul de comandă și control, pentru a evita întreruperile și detectarea.
În timp ce acționează ca un intermediar, extensia poate captura date din orice formă (credențiale, detalii despre carduri, parole, informații personale), poate sustrage cookie-uri de sesiune din anteturile HTTP și poate extrage token-uri API din solicitări.
Utilizatorilor Chrome li se recomandă să aibă în vedere doar extensiile de la editori de încredere, să verifice mai multe recenzii ale utilizatorilor și să acorde atenție permisiunilor solicitate la instalare.
Sursă: https://www.bleepingcomputer.com/news/security/malicious-extensions-in-chrome-web-store-steal-user-credentials/
