Twee Chrome-extensies met de naam Phantom Shuttle blijken al jaren misbruikt te worden om internetverkeer van gebruikers te onderscheppen en gevoelige gegevens buit te maken.
Dat blijkt uit onderzoek van beveiligingsspecialisten bij Socket, een platform dat zich toelegt op supply-chainbeveiliging. Volgens hun analyse zijn de extensies minstens sinds 2017 actief en doen ze zich voor als onschuldige hulpmiddelen voor proxygebruik en netwerktests. Bleeping Computer, dat als eerste over het onderzoek berichtte, rapporteerde dat de Phantom Shuttle-extensies tot voor kort nog gewoon beschikbaar waren in de Chrome Web Store, maar op het moment van schrijven konden we die niet meer terugvinden en heeft Google ze intussen wellicht offline gehaald.
De extensies richten zich vooral op gebruikers in China, waaronder mensen die actief zijn in buitenlandse handel en hun internetverbinding vanuit verschillende regio’s willen testen. Beide plug-ins worden aangeboden door dezelfde ontwikkelaar en werken met betaalde abonnementen, variërend van ongeveer 1,5 tot 14 dollar.
Onder de motorkap blijkt Phantom Shuttle echter veel meer te doen dan beloven. De extensies leiden al het surfverkeer van gebruikers om via proxyservers die onder controle staan van de aanvallers. De inloggegevens voor die proxies zijn hardcoded in de extensie zelf en slim verborgen in de code. Volgens Socket is de kwaadaardige functionaliteit verstopt in een aangepaste versie van de bekende jQuery-bibliotheek. De extensie luistert continu mee met het webverkeer en kan zo authenticatieverzoeken van websites onderscheppen.
Om dat verkeer automatisch via de eigen infrastructuur te laten lopen, passen de extensies dynamisch de proxy-instellingen van Chrome aan met behulp van een automatisch configuratiescript. In de standaardmodus, intern ‘smarty’ genoemd, worden meer dan 170 populaire en gevoelige websites via de proxy’s gestuurd. Het gaat onder meer om ontwikkelaarsplatformen, cloudbeheertools, sociale media en zelfs pornografische sites.
Lokale netwerken en het eigen command-and-controldomein van de aanvallers werden bewust uitgesloten, vermoedelijk om fouten en detectie te vermijden.
Doordat de extensies als een soort ’tussenpersoon’ functioneren, krijgen de aanvallers verregaande toegang tot gebruikersdata. Ze kunnen ingevulde formulieren onderscheppen, waaronder gebruikersnamen, wachtwoorden, betaalgegevens en andere persoonlijke informatie. Ook sessiecookies uit HTTP-headers en API-tokens uit netwerkverzoeken kunnen worden buitgemaakt.
Het incident toont opnieuw aan dat zelfs officiële extensiewinkels geen waterdichte garantie bieden. Gebruikers doen er goed aan alleen extensies te installeren van ontwikkelaars met een gekende reputatie, meerdere reviews te raadplegen en kritisch te kijken naar de permissies die een plug-in vraagt. Wie een van de Phantom Shuttle-extensies heeft geïnstalleerd, verwijdert die best zo snel mogelijk en verandert uit voorzorg alle wachtwoorden die via de browser zijn gebruikt.
Schrijf je in op onze nieuwsbrief en ontvang elke week het beste van Clickx in je mailbox.
Volg Clickx op Google Nieuws om onze nieuwste artikels in je feed te krijgen. Vergeet niet om op ‘Volgen’ te klikken.
Krijg Clickx magazine 10 keer per jaar (waarvan 2 extra dikke dubbelnummers) keurig thuisbezorgd.
