Säkerhetsforskare har upptäckt två skadliga webbläsartillägg i Google Chrome som utger sig för att vara verktyg för hastighetstester. Tilläggen, som båda går under namnet ”Phantom Shuttle”, marknadsförs mot utvecklare och personer inom internationell handel, men bakom ytan döljer sig en avancerad metod för att stjäla användardata och inloggningsuppgifter.
Bedrägeri genom prenumerationer Tilläggen fungerar som utlovat och utför faktiska mätningar av nätverkshastighet för att bibehålla illusionen av att vara en legitim produkt. Användare lockas dessutom att betala för prenumerationer i tron att de köper en pålitlig VPN-tjänst. När betalningen är genomförd aktiveras ett särskilt läge som automatiskt omdirigerar trafik från över 170 specifika domäner genom angriparnas egna servrar.
Automatisk stöld av lösenord Det som gör Phantom Shuttle särskilt farligt är hur det hanterar inloggningar. Forskare vid Socket har funnit att tilläggen manipulerar kända programmeringsbibliotek (Javascript) för att utföra följande:
-
Trafikavlyssning: De fungerar som en mellanhand (man-in-the-middle) som läser av all datatrafik.
-
Injektion av uppgifter: När en webbplats kräver inloggning skjuter tillägget automatiskt in hårdkodade uppgifter innan användaren ens hinner se inloggningsrutan. Detta sker helt dolt i bakgrunden.
-
Datastöld: All insamlad information skickas löpande vidare till angriparnas kontrollserver.
Berörda versioner De två identifierade versionerna har funnits tillgängliga under lång tid. Den äldre publicerades redan 2017 och har omkring 2 000 användare, medan en nyare version från 2023 har närmare 200 användare.
Säkerhetsexperter uppmanar nu alla användare att omedelbart kontrollera sina installerade tillägg och ta bort allt som är kopplat till Phantom Shuttle, samt att vara vaksamma på tillägg som kräver omfattande behörigheter för att läsa och ändra webbplatsdata.
Källa: The Hacker News
