Hacking
Επικίνδυνες επεκτάσεις Chrome κλέβουν διαπιστευτήρια
Κακόβουλες επεκτάσεις Chrome κλέβουν διαπιστευτήρια χρηστών, απειλώντας την ασφάλεια προσωπικών και εταιρικών δεδομένων.
Η ανακάλυψη επικίνδυνων επεκτάσεων
Ερευνητές στον τομέα της κυβερνοασφάλειας εντόπισαν δύο κακόβουλες επεκτάσεις για τον Google Chrome που φέρουν το ίδιο όνομα και έχουν αναπτυχθεί από τον ίδιο δημιουργό. Αυτές οι επεκτάσεις έχουν τη δυνατότητα να παρεμβαίνουν στην κυκλοφορία δεδομένων και να συλλέγουν διαπιστευτήρια των χρηστών. Παρουσιάζονται ως εργαλεία δοκιμής ταχύτητας δικτύου πολλαπλών τοποθεσιών, ειδικά για προγραμματιστές και επαγγελματίες εξωτερικού εμπορίου.
Περιγραφή και λειτουργία των επεκτάσεων
Οι δύο επεκτάσεις με την ονομασία “Phantom Shuttle” είναι διαθέσιμες για λήψη. Η πρώτη, με ID fbfldogmkadejddihifklefknmikncaj, έχει περίπου 2,000 χρήστες και δημοσιεύτηκε στις 26 Νοεμβρίου 2017. Η δεύτερη, με ID ocpcmfmiidofonkbodpdhgddhlcmcofd, έχει 180 χρήστες και δημοσιεύτηκε στις 27 Απριλίου 2023. Οι χρήστες πληρώνουν συνδρομές από ¥9.9 έως ¥95.9 CNY, πιστεύοντας ότι αγοράζουν νόμιμη υπηρεσία VPN, ενώ στην πραγματικότητα οι επεκτάσεις εκτελούν κακόβουλες λειτουργίες.
Ο μηχανισμός απάτης
Πίσω από την πρόσοψη της συνδρομής, οι επεκτάσεις εκτελούν πλήρη υποκλοπή κυκλοφορίας μέσω έγχυσης διαπιστευτηρίων ταυτοποίησης. Λειτουργούν ως μεσάζοντες διαμεσολαβητές (man-in-the-middle), συνεχώς εξάγοντας δεδομένα χρηστών προς τον διακομιστή C2 του επιτιθέμενου. Μόλις οι ανυποψίαστοι χρήστες πραγματοποιήσουν την πληρωμή, αποκτούν κατάσταση VIP και οι επεκτάσεις ενεργοποιούν αυτόματα τη λειτουργία “smarty” proxy, που κατευθύνει την κυκλοφορία από πάνω από 170 στοχευμένους τομείς μέσω της υποδομής C2.
Τεχνικές λεπτομέρειες
Οι επεκτάσεις εκτελούν πραγματικές δοκιμές καθυστέρησης σε διακομιστές διαμεσολάβησης και εμφανίζουν την κατάσταση σύνδεσης, ενώ κρατούν τους χρήστες στο σκοτάδι για τον κύριο στόχο τους, που είναι η υποκλοπή της κυκλοφορίας δικτύου και η κλοπή διαπιστευτηρίων. Αυτό περιλαμβάνει κακόβουλες τροποποιήσεις σε δύο βιβλιοθήκες JavaScript που συνοδεύουν τις επεκτάσεις. Ο κώδικας έχει σχεδιαστεί για να εισάγει αυτόματα σκληροκωδικοποιημένα διαπιστευτήρια διαμεσολάβησης σε κάθε πρόκληση ταυτοποίησης HTTP.
Οι επιπτώσεις για τους χρήστες και τις επιχειρήσεις
Οι επεκτάσεις αυτές κατευθύνουν την κυκλοφορία των χρηστών μέσω διαμεσολαβητών που ελέγχονται από επιτιθέμενους, ενώ διατηρούν ένα σήμα καρδιάς 60 δευτερολέπτων προς τον διακομιστή C2 στο phantomshuttle[.]space. Αυτό επιτρέπει στον επιτιθέμενο να καταγράφει την κυκλοφορία, να χειρίζεται απαντήσεις και να εισάγει αυθαίρετα φορτία. Το μήνυμα σήματος καρδιάς μεταδίδει το email του χρήστη VIP, τον κωδικό πρόσβασης σε απλό κείμενο και τον αριθμό έκδοσης σε εξωτερικό διακομιστή κάθε πέντε λεπτά.
Γιατί έχει σημασία
Η συνδυασμένη δυνατότητα εξαγωγής δεδομένων και πραγματικής καταγραφής κυκλοφορίας παρέχει ολοκληρωμένες δυνατότητες κλοπής δεδομένων, λειτουργώντας συνεχώς όσο η επέκταση παραμένει ενεργή. Η κλοπή κωδικών πρόσβασης, αριθμών πιστωτικών καρτών, cookies αυθεντικοποίησης, ιστορικού περιήγησης και άλλων ευαίσθητων πληροφοριών θέτει σε κίνδυνο όχι μόνο τους ιδιώτες χρήστες αλλά και επιχειρήσεις, καθώς μπορεί να οδηγήσει σε επιθέσεις στην αλυσίδα εφοδιασμού.
