Два вредоносных расширения для Chrome крадут данные - «Новости» » Интернет технологии
sitename
Разработчики WhatsApp заявили, что будут бороться за российских пользователей - «Новости»
Разработчики WhatsApp заявили, что будут бороться за российских пользователей - «Новости»
 Пользователи подали в суд на Роскомнадзор и Минцифры из-за ограничения звонков в WhatsApp и Telegram - «Новости»
Пользователи подали в суд на Роскомнадзор и Минцифры из-за ограничения звонков в WhatsApp и Telegram - «Новости»
 В npm нашли фейковый API WhatsApp, который ворует сообщения, контакты и токены - «Новости»
В npm нашли фейковый API WhatsApp, который ворует сообщения, контакты и токены - «Новости»
 Два вредоносных расширения для Chrome крадут данные - «Новости»
Два вредоносных расширения для Chrome крадут данные - «Новости»
 Обнаружены новые версии Android-трояна Mamont, которые распространяются через домовые чаты - «Новости»
Обнаружены новые версии Android-трояна Mamont, которые распространяются через домовые чаты - «Новости»
 Samsung показала первый в мире монитор с частотой 1040 Гц, а также 6K-модель с 3D без очков - «Новости сети»
Samsung показала первый в мире монитор с частотой 1040 Гц, а также 6K-модель с 3D без очков - «Новости сети»
 Десять экс-сотрудников Samsung арестованы за кражу технологий DRAM 10-нм класса для Китая - «Новости сети»
Десять экс-сотрудников Samsung арестованы за кражу технологий DRAM 10-нм класса для Китая - «Новости сети»
 В Китае запретят сэкстинг — откровенный контент в личных переписках окажется вне закона - «Новости сети»
В Китае запретят сэкстинг — откровенный контент в личных переписках окажется вне закона - «Новости сети»
 Производители готовы свернуть выпуск SATA-накопителей: покупатели всё чаще выбирают внешние SSD - «Новости сети»
Производители готовы свернуть выпуск SATA-накопителей: покупатели всё чаще выбирают внешние SSD - «Новости сети»
 Галактический масштаб, никаких экранов загрузки и невероятный уровень погружения: новые детали сюжетного боевика Squadron 42 во вселенной Star Citizen - «Новости сети»
Галактический масштаб, никаких экранов загрузки и невероятный уровень погружения: новые детали сюжетного боевика Squadron 42 во вселенной Star Citizen - «Новости сети»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Самоучитель CSS » Изображения » Два вредоносных расширения для Chrome крадут данные - «Новости»

✔Два вредоносных расширения для Chrome крадут данные - «Новости»

25 декабря 2025 0 Изображения / Новости / Преимущества стилей / Отступы и поля / Добавления стилей / Самоучитель CSS / Заработок / Формы / Сайтостроение 0

Обнаружены два расширения для Chrome, распространяющиеся под общим названием Phantom Shuttle. Они выдают себя за плагины для прокси-сервиса, однако на самом деле перехватывают трафик пользователей и воруют конфиденциальные данные.


По данным специалистов из компании Socket, эти расширения активны как минимум с 2017 года:



  • Phantom Shuttle (ID: fbfldogmkadejddihifklefknmikncaj) — 2000 пользователей (опубликовано 26 ноября 2017 года);

  • Phantom Shuttle (ID: ocpcmfmiidofonkbodpdhgddhlcmcofd) — 180 пользователей (опубликовано 27 апреля 2023 года).





Основная аудитория Phantom Shuttle — пользователи из Китая, включая работников сферы внешней торговли, которым нужно тестировать подключения из разных регионов страны.


Оба расширения были опубликованы от имени одного разработчика и позиционируются как инструменты для проксирования трафика и проверки скорости сети. Подписка на них стоит от 1,4 до 13,6 долларов США.


Phantom Shuttle направляет весь трафик пользователя через прокси, контролируемые злоумышленниками. Доступ к прокси осуществляется посредством жестко закодированных учетных данных, а вредоносный код встроен в начало легитимной библиотеки jQuery.


Отмечается, что злоумышленники скрыли жестко закодированные аккаунты с помощью кастомной схемы кодирования символов по индексу. С помощью обработчика веб-трафика расширения перехватывают HTTP-запросы аутентификации на любом сайте, который посещает жертва.


Для автоматической маршрутизации трафика через прокси вредоносные расширения динамически меняют настройки прокси в Chrome с помощью автоконфигурационного скрипта.


В режиме по умолчанию (smarty mode) через прокси направляется трафик более чем 170 доменов, включая платформы разработчиков, консоли облачных сервисов, соцсети и сайты с контентом для взрослых. В свою очередь, в список исключений входят локальные сети и домен управляющего сервера атакующих (чтобы избежать нарушений в работе малвари и ее обнаружения).


В результате вредоносные расширения могут перехватывать данные из любых форм — учетные данные, реквизиты платежных карт, пароли, личную информацию и так далее. Также в отчете Socket отмечается, что вредонос похищает сессионные cookie из HTTP-заголовков и извлекает API-токены из запросов.


На момент публикации этого исследования оба расширения по-прежнему были доступны в Chrome Web Store.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

Обнаружены два расширения для Chrome, распространяющиеся под общим названием Phantom Shuttle. Они выдают себя за плагины для прокси-сервиса, однако на самом деле перехватывают трафик пользователей и воруют конфиденциальные данные. По данным специалистов из компании Socket, эти расширения активны как минимум с 2017 года: Phantom Shuttle (ID: fbfldogmkadejddihifklefknmikncaj) — 2000 пользователей (опубликовано 26 ноября 2017 года); Phantom Shuttle (ID: ocpcmfmiidofonkbodpdhgddhlcmcofd) — 180 пользователей (опубликовано 27 апреля 2023 года). Основная аудитория Phantom Shuttle — пользователи из Китая, включая работников сферы внешней торговли, которым нужно тестировать подключения из разных регионов страны. Оба расширения были опубликованы от имени одного разработчика и позиционируются как инструменты для проксирования трафика и проверки скорости сети. Подписка на них стоит от 1,4 до 13,6 долларов США. Phantom Shuttle направляет весь трафик пользователя через прокси, контролируемые злоумышленниками. Доступ к прокси осуществляется посредством жестко закодированных учетных данных, а вредоносный код встроен в начало легитимной библиотеки jQuery. Отмечается, что злоумышленники скрыли жестко закодированные аккаунты с помощью кастомной схемы кодирования символов по индексу. С помощью обработчика веб-трафика расширения перехватывают HTTP-запросы аутентификации на любом сайте, который посещает жертва. Для автоматической маршрутизации трафика через прокси вредоносные расширения динамически меняют настройки прокси в Chrome с помощью автоконфигурационного скрипта. В режиме по умолчанию (smarty mode) через прокси направляется трафик более чем 170 доменов, включая платформы разработчиков, консоли облачных сервисов, соцсети и сайты с контентом для взрослых. В свою очередь, в список исключений входят локальные сети и домен управляющего сервера атакующих (чтобы избежать нарушений в работе малвари и ее обнаружения). В результате вредоносные расширения могут перехватывать данные из любых форм — учетные данные, реквизиты платежных карт, пароли, личную информацию и так далее. Также в отчете Socket отмечается, что вредонос похищает сессионные cookie из HTTP-заголовков и извлекает API-токены из запросов. На момент публикации этого исследования оба расширения по-прежнему были доступны в Chrome Web Store.
CSS

Смотрите также
А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация
Войти через: