Các nhà nghiên cứu Cybersecurity đã phát hiện hai tiện ích mở rộng Google Chrome độc hại cùng tên và được xuất bản bởi cùng một nhà phát triển, có khả năng chặn lưu lượng truy cập và thu thập thông tin đăng nhập của người dùng.
Các tiện ích mở rộng này được quảng cáo là "plug-in kiểm tra tốc độ mạng đa vị trí" dành cho các nhà phát triển và nhân viên thương mại nước ngoài. Cả hai tiện ích bổ sung trình duyệt này đều có sẵn để tải xuống tại thời điểm viết bài. Chi tiết về các tiện ích mở rộng như sau:
- Phantom Shuttle (ID: fbfldogmkadejddihifklefknmikncaj) - 2,000 người dùng (Xuất bản vào ngày 26 tháng 11 năm 2017)
- Phantom Shuttle (ID: ocpcmfmiidofonkbodpdhgddhlcmcofd) - 180 người dùng (Xuất bản vào ngày 27 tháng 4 năm 2023)
"Users pay subscriptions ranging from ¥9.9 to ¥95.9 CNY ($1.40 to $13.50 USD), believing they're purchasing a legitimate VPN service, but both variants perform identical malicious operations,"
Nhà nghiên cứu bảo mật Kush Pandya của Socket cho biết.
"Behind the subscription facade, the extensions execute complete traffic interception through authentication credential injection, operate as man-in-the-middle proxies, and continuously exfiltrate user data to the threat actor's C2 [command-and-control] server."
Khi những người dùng không nghi ngờ thực hiện thanh toán, họ sẽ nhận được trạng thái VIP và các tiện ích mở rộng sẽ tự động kích hoạt chế độ proxy "smarty", định tuyến lưu lượng truy cập từ hơn 170 domain mục tiêu thông qua hạ tầng C2.
Các tiện ích mở rộng hoạt động như quảng cáo để củng cố ảo tưởng về một sản phẩm chức năng. Chúng thực hiện các bài kiểm tra độ trễ thực tế trên các máy chủ proxy và hiển thị trạng thái kết nối, đồng thời giữ người dùng không biết về mục tiêu chính của chúng là chặn lưu lượng mạng và đánh cắp thông tin đăng nhập.
Điều này liên quan đến các sửa đổi độc hại được thêm vào hai thư viện JavaScript, cụ thể là jquery-1.12.2.min.js và scripts.js, đi kèm với các tiện ích mở rộng. Mã này được thiết kế để tự động inject thông tin đăng nhập proxy được mã hóa cứng (topfany / 963852wei) vào mọi thử thách HTTP authentication trên tất cả các trang web bằng cách đăng ký một listener trên chrome.webRequest.onAuthRequired.
"When any website or service requests HTTP authentication (Basic Auth, Digest Auth, or proxy authentication), this listener fires before the browser displays a credential prompt. It immediately responds with the hardcoded proxy credentials, completely transparent to the user. The asyncBlocking mode ensures synchronous credential injection, preventing any user interaction."
Pandya giải thích.
Khi người dùng xác thực với máy chủ proxy, tiện ích mở rộng sẽ cấu hình cài đặt proxy của Chrome bằng cách sử dụng script Proxy Auto-Configuration (PAC) để triển khai ba chế độ:
- close, tắt tính năng proxy
- always, định tuyến tất cả lưu lượng web thông qua proxy
- smarty, định tuyến danh sách cố định hơn 170 domain có giá trị cao thông qua proxy
Danh sách các domain bao gồm các nền tảng dành cho nhà phát triển (GitHub, Stack Overflow, Docker), các dịch vụ đám mây (Amazon Web Services, Digital Ocean, Microsoft Azure), các giải pháp doanh nghiệp (Cisco, IBM, VMware), mạng xã hội (Facebook, Instagram, Twitter) và các trang web nội dung người lớn. Socket đưa ra giả thuyết rằng việc đưa các trang web khiêu dâm vào danh sách có thể là một nỗ lực để tống tiền nạn nhân.
Kết quả cuối cùng của hành vi này là lưu lượng web của người dùng được định tuyến thông qua các proxy do threat actor kiểm soát, trong khi tiện ích mở rộng duy trì tín hiệu heartbeat 60 giây đến máy chủ C2 của nó tại phantomshuttle[.]space, một domain vẫn đang hoạt động. Nó cũng cấp cho kẻ tấn công vị trí "man-in-the-middle" (MitM) để chặn lưu lượng truy cập, thao túng phản hồi và inject các payload tùy ý.
Quan trọng hơn, thông điệp heartbeat truyền email, password dưới dạng plaintext, và số phiên bản của người dùng VIP tới một máy chủ bên ngoài thông qua một HTTP GET request cứ sau năm phút để liên tục exfiltration thông tin đăng nhập và giám sát phiên.
"The combination of heartbeat exfiltration (credentials and metadata) plus proxy MitM (real-time traffic capture) provides comprehensive data theft capabilities operating continuously while the extension remains active,"
Socket cho biết.
Nói cách khác, tiện ích mở rộng này thu thập passwords, số thẻ tín dụng, authentication cookies, lịch sử duyệt web, dữ liệu biểu mẫu, API keys và access tokens từ người dùng truy cập các domain mục tiêu khi chế độ VIP đang hoạt động. Hơn nữa, việc đánh cắp secrets của nhà phát triển có thể mở đường cho các supply chain attacks.
Hiện tại vẫn chưa rõ ai đứng đằng sau hoạt động kéo dài tám năm này, nhưng việc sử dụng tiếng Trung trong mô tả tiện ích mở rộng, sự hiện diện của tích hợp Alipay/WeChat Pay để thực hiện thanh toán và việc sử dụng Alibaba Cloud để host domain C2 đều cho thấy đây là một hoạt động có trụ sở tại Trung Quốc.
"The subscription model creates victim retention while generating revenue, and the professional infrastructure with payment integration presents a facade of legitimacy,"
Socket cho biết. "Người dùng tin rằng họ đang mua một dịch vụ VPN trong khi vô tình cho phép traffic bị compromise hoàn toàn."
Những phát hiện này nhấn mạnh cách các tiện ích mở rộng dựa trên trình duyệt đang trở thành một lớp rủi ro không được quản lý cho các doanh nghiệp. Người dùng đã cài đặt các tiện ích mở rộng này được khuyên nên gỡ bỏ chúng càng sớm càng tốt. Đối với các nhóm security, điều cần thiết là triển khai allowlisting tiện ích mở rộng, giám sát các tiện ích mở rộng có hệ thống thanh toán đăng ký kết hợp với quyền proxy và triển khai giám sát mạng cho các nỗ lực HTTP authentication proxy đáng ngờ.
