Estensioni VPN di Chrome false dirottano il traffico e rubano le credenziali degli utenti

Due estensioni di Chrome, che si fingono strumenti VPN con il nome di Phantom Shuttle (幻影穿), sono state scoperte dal team di ricerca delle minacce di Socket, attive dal 2017. Queste estensioni, commercializzate come strumenti di test della velocità di rete per sviluppatori e professionisti del commercio estero, intercettano segretamente il traffico degli utenti e esfiltrano le credenziali attraverso un’infrastruttura di proxy controllata dagli attaccanti.

Funzionamento delle estensioni
Le estensioni, ancora disponibili sul Chrome Web Store, sono legate a un singolo attore minaccioso che utilizza l’indirizzo email theknewone.com@gmail[.]com. Ogni estensione offre un servizio VPN a pagamento, che varia da ¥9.9 a ¥95.9 CNY (~$1,40 a $13,50 USD), ma entrambe eseguono azioni maliziose identiche. In particolare, eseguono l’iniezione automatica delle credenziali del proxy, la reindirizzamento del traffico e la continua esfiltrazione di dati sensibili degli utenti al server di comando e controllo (C2) degli attaccanti.

Rischi per gli utenti
Le estensioni incorporano codice malizioso in versioni modificate di librerie JavaScript legittime, come jquery-1.12.2.min.js e scripts.js. Il codice definisce uno schema di codifica degli indici dei caratteri personalizzato che nasconde le credenziali del proxy hardcoded (topfany / 963852wei) dall’analisi statica. Queste credenziali vengono iniettate silenziosamente in ogni sfida di autenticazione HTTP utilizzando il listener webRequest.onAuthRequired di Chrome in modalità asyncBlocking, dando all’attaccante una posizione di uomo-in-the-middle (MITM) trasparente sul traffico degli utenti.