ウェブストアにある「Phantom Shuttle」という名称の2つのChrome拡張機能が、プロキシサービス用プラグインを装ってユーザーの通信を乗っ取り、機密データを盗み出しています。
サプライチェーンセキュリティプラットフォームSocketの研究者による報告によれば、これら2つの拡張機能はいずれも執筆時点でChromeの公式マーケットプレイスにまだ掲載されており、少なくとも2017年から活動しているとのことです。
Phantom Shuttleの主な標的は中国のユーザーで、国内のさまざまな場所からの接続性をテストする必要がある対外貿易従事者などが含まれます。
両拡張機能は同じ開発者名で公開されており、通信をプロキシ経由にしたりネットワーク速度をテストしたりできるツールとして宣伝されています。サブスクリプションは1.4ドル〜13.6ドルで利用可能です。
出典: BleepingComputer
秘匿されたデータ窃取機能
Socket.devの研究者によると、Phantom Shuttleは、脅威アクターが管理するプロキシを通してユーザーのすべてのウェブ通信を中継します。これらのプロキシにはハードコードされた認証情報でアクセス可能です。この処理を行うコードは、正規のjQueryライブラリの先頭に付加されています。
悪意あるコードは、独自の文字インデックス符号化方式を用いてハードコードされたプロキシ認証情報を隠しています。ウェブ通信リスナーを通じて、拡張機能はあらゆるウェブサイトでHTTP認証チャレンジを傍受できます。
攻撃者のプロキシを介してユーザー通信を自動的に流すため、悪意ある拡張機能は自動構成スクリプトを使ってChromeのプロキシ設定を動的に再構成します。
デフォルトの「smarty」モードでは、開発者向けプラットフォーム、クラウドサービスのコンソール、ソーシャルメディアサイト、アダルトコンテンツポータルなどを含む、170以上の高価値ドメインをプロキシネットワーク経由にルーティングします。
除外リストには、ローカルネットワークとコマンド&コントロールドメインが含まれており、障害や検知を避けるためです。
中間者として動作している間、拡張機能はあらゆるフォームからデータ(認証情報、カード情報、パスワード、個人情報)を取得できるほか、HTTPヘッダーからセッションクッキーを盗み、リクエストからAPIトークンを抽出できます。
BleepingComputerは、拡張機能がウェブストアにまだ掲載されている件についてGoogleに問い合わせましたが、コメントはすぐには得られませんでした。
Chromeユーザーには、信頼できる発行元の拡張機能のみを信用し、複数のユーザーレビューを確認し、インストール時に要求される権限に注意することが推奨されます。
