Alerta Chrome: Extensões Roubam Senhas Secretamente de Mais de 170 Sites!

Índice

Extensões Roubam Senhas Secretamente

Pesquisadores de segurança cibernética descobriram duas extensões maliciosas para o Google Chrome com o mesmo nome e publicadas pelo mesmo desenvolvedor, que possuem a capacidade de interceptar tráfego e capturar credenciais de usuários.

As extensões são anunciadas como um “plug-in de teste de velocidade de rede multi-localização” para desenvolvedores e profissionais de comércio exterior. Ambos os complementos do navegador estão disponíveis para download no momento da escrita. Os detalhes das extensões são os seguintes:

Phantom Shuttle (ID: fbfldogmkadejddihifklefknmikncaj) – 2.000 usuários (Publicado em 26 de novembro de 2017)
Phantom Shuttle (ID: ocpcmfmiidofonkbodpdhgddhlcmcofd) – 180 usuários (Publicado em 27 de abril de 2023)

“Usuários pagam assinaturas que variam de ¥9,9 a ¥95,9 CNY (US$ 1,40 a US$ 13,50), acreditando que estão comprando um serviço VPN legítimo, mas ambas as variantes executam operações maliciosas idênticas”, disse o pesquisador de segurança da Socket, Kush Pandya.

“Por trás da fachada da assinatura, as extensões executam interceptação completa de tráfego por meio de injeção de credenciais de autenticação, operam como proxies ‘man-in-the-middle’ (homem no meio) e continuamente exfiltram dados do usuário para o servidor C2 [comando e controle] do agente de ameaças.”

Uma vez que usuários desavisados fazem o pagamento, eles recebem status VIP e as extensões habilitam automaticamente o modo proxy “smarty”, que roteia o tráfego de mais de 170 domínios específicos através da infraestrutura C2.

As extensões funcionam como anunciado para reforçar a ilusão de um produto funcional. Elas realizam testes de latência reais em servidores proxy e exibem o status da conexão, enquanto mantêm os usuários no escuro sobre seu objetivo principal, que é interceptar o tráfego de rede e roubar credenciais.

Isso envolve modificações maliciosas anexadas a duas bibliotecas JavaScript, nomeadamente, jquery-1.12.2.min.js e scripts.js, que vêm agrupadas com as extensões. O código é projetado para injetar automaticamente credenciais de proxy embutidas (topfany / 963852wei) em todos os desafios de autenticação HTTP em todos os sites, registrando um listener em chrome.webRequest.onAuthRequired.

“Quando qualquer site ou serviço solicita autenticação HTTP (Basic Auth, Digest Auth ou autenticação de proxy), este listener é acionado antes que o navegador exiba um prompt de credenciais”, explicou Pandya. “Ele responde imediatamente com as credenciais de proxy embutidas, completamente transparente para o usuário. O modo asyncBlocking garante a injeção síncrona de credenciais, impedindo qualquer interação do usuário.”

Uma vez que os usuários se autenticam em um servidor proxy, a extensão configura as configurações de proxy do Chrome usando um script de configuração automática de proxy (PAC) para implementar três modos –

close, que desabilita o recurso de proxy
always, que roteia todo o tráfego web através do proxy
smarty, que roteia uma lista codificada de mais de 170 domínios de alto valor através do proxy

A lista de domínios inclui plataformas de desenvolvedores (GitHub, Stack Overflow, Docker), serviços de nuvem (Amazon Web Services, Digital Ocean, Microsoft Azure), soluções corporativas (Cisco, IBM, VMware), mídia social (Facebook, Instagram, Twitter) e sites de conteúdo adulto. A inclusão de sites pornográficos provavelmente é uma tentativa de chantagear as vítimas, teorizou a Socket.

O resultado líquido desse comportamento é que o tráfego da web do usuário é roteado através de proxies controlados por agentes de ameaças, enquanto a extensão mantém um heartbeat de 60 segundos para seu servidor C2 em phantomshuttle[.]space, um domínio que permanece operacional. Também concede ao atacante uma posição de “man-in-the-middle” (MitM) para capturar tráfego, manipular respostas e injetar cargas arbitrárias.

Mais importante, a mensagem de heartbeat transmite o e-mail, a senha em texto simples e o número da versão de um usuário VIP para um servidor externo por meio de uma solicitação HTTP GET a cada cinco minutos para exfiltração contínua de credenciais e monitoramento de sessão.

“A combinação de exfiltração de heartbeat (credenciais e metadados) mais proxy MitM (captura de tráfego em tempo real) fornece recursos abrangentes de roubo de dados operando continuamente enquanto a extensão permanece ativa”, disse a Socket.

Em outras palavras, a extensão captura senhas, números de cartão de crédito, cookies de autenticação, histórico de navegação, dados de formulário, chaves de API e tokens de acesso de usuários que acessam os domínios visados enquanto o modo VIP está ativo. Além disso, o roubo de segredos de desenvolvedores pode abrir caminho para ataques à cadeia de suprimentos.

Atualmente, não se sabe quem está por trás da operação de oito anos, mas o uso do idioma chinês na descrição da extensão, a presença da integração Alipay/WeChat Pay para fazer pagamentos e o uso do Alibaba Cloud para hospedar o domínio C2 apontam para uma operação baseada na China.

“O modelo de assinatura cria retenção de vítimas enquanto gera receita, e a infraestrutura profissional com integração de pagamento apresenta uma fachada de legitimidade”, disse a Socket. “Os usuários acreditam que estão comprando um serviço VPN enquanto habilitam, sem saber, o comprometimento completo do tráfego.”

As descobertas destacam como as extensões baseadas em navegador estão se tornando uma camada de risco não gerenciada para as empresas. Usuários que instalaram as extensões são aconselhados a removê-las o mais rápido possível. Para as equipes de segurança, é essencial implantar allowlisting de extensões, monitorar extensões com sistemas de pagamento de assinatura combinados com permissões de proxy e implementar monitoramento de rede para tentativas de autenticação de proxy suspeitas.