北京
Chrome應用商店中兩款名為“Phantom Shuttle”的擴展程序,正偽裝成代理服務插件,暗中劫持用戶網絡流量并竊取敏感數據。
據研究人員報告顯示,這兩款插件仍在Chrome官方應用商店上架,且至少自2017年起便已活躍。
Phantom Shuttle的目標用戶多為需要測試不同地區網絡連通性的外貿從業者。兩款插件由同一開發者發布,均以“可代理流量、測試網速”為宣傳點,訂閱價格在1.4至13.6美元之間。
Chrome 應用商店中的Phantom Shuttle
隱秘的數據竊取功能
Socket.dev研究人員指出,Phantom Shuttle會將用戶所有網絡流量路由至攻擊者控制的代理服務器,且通過硬編碼憑證實現訪問——相關惡意代碼被嵌入到合法的jQuery庫中,以規避檢測。
惡意代碼采用自定義字符索引編碼方案隱藏硬編碼的代理憑證,并通過網絡流量監聽器,攔截所有網站的HTTP認證請求。為強制用戶流量經由攻擊者代理傳輸,該惡意插件會通過自動配置腳本,動態修改Chrome瀏覽器的代理設置。
在默認的“智能模式”下,插件會將170余個高價值域名的流量路由至代理網絡,涵蓋開發者平臺、云服務控制臺、社交媒體網站及成人內容門戶等。本地網絡與命令控制域名則被列入排除清單,以此避免攻擊行為中斷或被檢測發現。
作為中間人,該插件可捕獲各類表單數據(包括賬戶憑證、銀行卡信息、密碼、個人信息等),竊取HTTP頭中的會話Cookie,并從請求中提取API令牌。
研究人員建議Chrome用戶:僅信任知名開發者發布的擴展程序,安裝前查看多方用戶評價,并留意插件申請的權限范圍,避免因惡意插件導致數據泄露。
參考及來源:https://www.bleepingcomputer.com/news/security/malicious-extensions-in-chrome-web-store-steal-user-credentials/
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
