Sió-Informatika Rendszerház

HÍREK

⚠️ Figyelem: Ezek a rosszindulatú Chrome-bővítmények ellopják a belépési adataidat

Rosszindulatú Chrome bővítmény

Kiberbiztonsági kutatók egy komoly, eddig kevéssé reflektorfényben lévő fenyegetésre hívták fel a figyelmet: rosszindulatú Google Chrome-bővítmények képesek észrevétlenül ellopni felhasználói hitelesítő adatokat több mint 170 népszerű online szolgáltatásból.

A felfedezést a vállalati biztonságra specializálódott Socket kutatói tették közzé. Elemzésük szerint két, látszólag ártalmatlan Chrome-kiegészítő valójában teljes körű megfigyelő és adatlopó proxyként működött.

🕵️‍♂️ Mi volt a Phantom Shuttle?

A két bővítmény ugyanazzal a névvel futott: „Phantom Shuttle”, és ugyanahhoz a fejlesztőhöz volt köthető. A Chrome Web Store-ban:

  • hálózati sebességmérő eszközként hirdették őket,
  • fejlesztőknek és nemzetközi kereskedelemben dolgozó szakembereknek szánták,
  • és valóban működtek is a leírás szerint – ez tette őket különösen veszélyessé.

A háttérben azonban a bővítmények minden webes forgalmat figyeltek, és az érzékeny adatokat támadók által vezérelt szerverekre továbbították.

📌 Fontos részlet:

  • Az egyik verzió 2017 novembere óta volt elérhető, kb. 2000 felhasználóval
  • A másik, újabb változat 2023 áprilisában jelent meg, kb. 180 telepítéssel
  • Külön azonosítóval futottak, de ugyanazt a rosszindulatú kódot tartalmazták

💳 Fizetős szolgáltatás – rejtett megfigyeléssel

A Phantom Shuttle nem tipikus „ingyenes malware” volt. Előfizetéses modellben működött:

  • A felhasználók ¥9,9 – ¥95,9 CNY (kb. 1,4–13,5 USD) közötti összeget fizettek
  • Fizetés Alipay vagy WeChat Pay rendszereken keresztül történt
  • A fizetés után a felhasználó „VIP” státuszt kapott

👉 És itt kezdődött az igazi probléma:
VIP módban a bővítmény automatikusan aktiválta a legveszélyesebb proxy beállítást, amely a forgalmat támadók szerverein keresztül irányította.

A látszat tökéletes volt:

  • valós késleltetésmérés,
  • működő proxy státuszjelzés,
  • „professzionális” felület.

Közben a teljes böngészési forgalom megfigyelhetővé vált.

🔐 Hogyan lopták el a belépési adatokat?

A Socket elemzése szerint a bővítmények módosított JavaScript-könyvtárakat használtak, többek között:

  • jquery-1.12.2.min.js
  • egyedi scripts.js

Ezekbe hitelesítő adatokat elfogó logika került.

🎯 A kulcs: webRequest.onAuthRequired

A Chrome ezen API-ja lehetővé teszi, hogy egy bővítmény minden HTTP-alapú hitelesítési kérést elkapjon, még mielőtt a felhasználó bármit látna.

A Phantom Shuttle:

  • automatikusan válaszolt a hitelesítési kérésekre,
  • beégetett (hard-coded) felhasználónév/jelszó párost használt,
  • így a felhasználó tudta nélkül kapcsolódott a támadók proxy szervereihez.

🌐 Mit figyeltek meg? – Több mint 170 célpont

A célzott weboldalak listája 170+ domainből állt, köztük:

  • Fejlesztői platformok: GitHub, Stack Overflow, Docker
  • Felhőszolgáltatók: AWS, Microsoft Azure, DigitalOcean
  • Vállalati technológiai cégek: Cisco, IBM, VMware
  • Közösségi oldalak: Facebook, Instagram, X (Twitter)

⚠️ Különösen aggasztó:
A listában felnőtt tartalmú oldalak is szerepeltek, ami arra utal, hogy az adatgyűjtés célja akár zsarolás vagy megfélemlítés is lehetett.

Mivel a forgalom a támadók proxyján ment keresztül, klasszikus man-in-the-middle (MitM) helyzet alakult ki:

  • belépési adatok,
  • session cookie-k,
  • API-kulcsok,
  • fizetési adatok,
  • űrlaptartalmak
    👉 minden láthatóvá vált.

📡 Folyamatos adatküldés a vezérlőszerverre

A kártevő működése nem állt meg a forgalom figyelésénél:

  • 5 percenként „heartbeat” üzenet ment a phantomshuttle[.]space domainre
  • Az üzenetek plaintext formában tartalmazták:
    • a felhasználó e-mail címét,
    • jelszavát,
    • bővítmény verzióját

Ezen felül:

  • 60 másodperces állapotjelentés biztosította, hogy a bővítmény aktív maradjon,
  • a támadók folyamatos kontroll alatt tarthatták az érintett böngészőket.

🇨🇳 Lehetséges háttér és tágabb következmények

Bár a konkrét elkövetők nem ismertek, több jel is kínai kapcsolatra utal:

  • kínai nyelvű leírások,
  • kizárólag kínai fizetési rendszerek,
  • backend infrastruktúra az Alibaba Cloudon.

A szakértők szerint ez az eset jól mutatja, hogy a böngészőbővítmények komoly, alulértékelt támadási felületet jelentenek, különösen vállalati környezetben.

Egyetlen kompromittált fejlesztői vagy felhős fiók:

  • ellátási lánc támadásokhoz,
  • vállalati hálózatok feltöréséhez,
  • forráskódok és üzleti adatok kiszivárgásához vezethet.

✅ Mit tegyenek a felhasználók és szervezetek?

Felhasználóknak
  • Azonnal távolítsák el a Phantom Shuttle bővítményeket
  • Minden érintett jelszót haladéktalanul cseréljenek le
  • Ellenőrizzék a fióktevékenységeket gyanús belépések után
Szervezeteknek
  • Böngészőbővítmények engedélyezési listájának (allowlist) bevezetése
  • Nem jóváhagyott kiegészítők tiltása
  • Szokatlan proxy-hitelesítési minták monitorozása

A Socket figyelmeztetése egyértelmű:

„A professzionális megjelenés és a fizetős modell legitimnek láttatta ezeket a bővítményeket – valójában azonban megfigyelő eszközzé alakították a böngészőt.”

🔚 Összegzés

Ez az eset világosan megmutatja, hogy a böngészőbővítmények nem ártalmatlan kiegészítők, hanem adott esetben teljes körű megfigyelési és adatlopási eszközök lehetnek.

A tanulság egyszerű, de fontos:
👉 A böngészőt és annak kiegészítőit ugyanazzal a biztonsági szigorral kell kezelni, mint bármely más szoftvert.

Keresés

Népszerű bejegyzések

Kategóriák

Arhívum

Kövess minket

Az oldal tartalma nem másolható!