کمیته رکن چهارم – پژوهشگران امنیتی از شناسایی دو افزونه مخرب Google Chrome با نام Phantom Shuttle خبر دادهاند که با ظاهری قانونی و کاربردی، اطلاعات حساس کاربران را از طریق حملات Man-in-the-Middle سرقت میکردند. این افزونهها با مدل اشتراکی فعالیت کرده و کاربران با پرداخت مبالغی، تصور دریافت یک سرویس VPN را داشتند.
به گزارش کمیته رکن چهارم، پس از فعالسازی، این افزونهها با استفاده از کدهای مخرب در فایلهای جاوااسکریپت و تنظیم پراکسی مرورگر از طریق اسکریپت PAC، ترافیک دامنههای حساس مانند GitHub، AWS، Cisco و شبکههای اجتماعی را از طریق سرورهای مهاجم عبور داده و اطلاعاتی مانند ایمیل، رمز عبور، کوکی، کلید API و حتی دادههای پروژههای توسعهدهندگان را جمعآوری میکردند.
این اطلاعات هر ۵ دقیقه به دامنهای به نام phantomshuttle[.]space ارسال میشد. شواهدی مانند توضیحات چینی افزونه، استفاده از WeChat Pay و میزبانی روی Alibaba Cloud نشاندهنده منشأ احتمالی چینی این عملیات است.
عملکرد افزونهها طوری طراحی شده بود که کاربر متوجه رفتار مخرب نشود. حتی با فعال شدن حالت VIP، افزونهها توانایی کامل سرقت اطلاعات را داشتند، در حالیکه با نمایش نتایج تست سرعت و اتصال، ظاهر عملکرد قانونی داشتند.
کاربران باید در صورت نصب این افزونهها، فوراً آنها را حذف کنند. همچنین تیمهای امنیتی توصیه میشود از سیاستهای سختگیرانه برای مدیریت افزونهها و مانیتورینگ دقیق استفاده کنند تا از بروز حملات مشابه جلوگیری شود.
