Ricercatori di sicurezza informatica hanno scoperto due estensioni malware di Google Chrome con lo stesso nome e pubblicate dallo stesso sviluppatore, che consentono di intercettare il traffico e catturare le credenziali degli utenti. Le estensioni sono pubblicizzate come un plug-in di test della velocità di rete per sviluppatori e personale commerciale estero.
Dettagli delle estensioni
Le due estensioni, denominate “Phantom Shuttle”, sono disponibili per il download e hanno le seguenti caratteristiche:
– Phantom Shuttle (ID: fbfldogmkadejddihifklefknmikncaj) – 2.000 utenti (pubblicata il 26 novembre 2017)
– Phantom Shuttle (ID: ocpcmfmiidofonkbodpdhgddhlcmcofd) – 180 utenti (pubblicata il 27 aprile 2023)
Gli utenti pagano abbonamenti che vanno da ¥9,9 a ¥95,9 CNY ($1,40 a $13,50 USD), credendo di acquistare un servizio VPN legittimo, ma entrambe le varianti eseguono operazioni maliziose identiche.
Funzionamento delle estensioni
Le estensioni lavorano come pubblicizzato, eseguendo test di latenza sui server proxy e visualizzando lo stato di connessione, mentre tengono gli utenti all’oscuro del loro obiettivo principale, che èintercettare il traffico di rete e rubare le credenziali. Le estensioni utilizzano una tecnica di iniezione di credenziali per catturare le informazioni di accesso degli utenti e le inviano a un server di controllo e comando (C2) gestito dagli attaccanti.
