Web Mağazası’ndaki ‘Phantom Shuttle’ adlı iki Chrome uzantısı, kullanıcı trafiğini ele geçirmek ve hassas verileri çalmak için bir proxy hizmetinin eklentisi gibi görünüyor.
Soket tedarik zinciri güvenlik platformundaki araştırmacıların hazırladığı bir rapora göre, her iki uzantı da bu yazının yazıldığı sırada Chrome’un resmi pazarında hâlâ mevcut ve en az 2017’den beri aktif durumda.
Phantom Shuttle’ın hedef kitlesi, ülkenin çeşitli yerlerinden bağlantıyı test etmesi gereken dış ticaret çalışanları da dahil olmak üzere Çin’deki kullanıcılardır.
Her iki uzantı da aynı geliştirici adı altında yayınlanır ve trafiği proxy olarak kullanabilen ve ağ hızını test edebilen araçlar olarak tanıtılır. 1,4 ila 13,6 ABD Doları arasında bir abonelik karşılığında kullanılabilirler.
Kaynak: BleepingComputer
Gizli veri hırsızlığı işlevi
Socket.dev araştırmacıları, Phantom Shuttle’ın tüm kullanıcı web trafiğini, tehdit aktörü tarafından kontrol edilen ve sabit kodlanmış kimlik bilgileri aracılığıyla erişilebilen proxy’ler aracılığıyla yönlendirdiğini söylüyor. Bunu yapan kod meşru jQuery kütüphanesinin başına eklenmiştir.
Kötü amaçlı kod, özel bir karakter dizini kodlama şeması kullanarak sabit kodlanmış proxy kimlik bilgilerini gizler. Bir web trafiği dinleyicisi aracılığıyla, uzantılar her web sitesindeki HTTP kimlik doğrulama zorluklarını engelleyebilir.
Kötü amaçlı uzantılar, kullanıcı trafiğini saldırganın proxy’leri üzerinden otomatik olarak yürütmek için bir otomatik yapılandırma komut dosyası kullanarak Chrome’un proxy ayarlarını dinamik olarak yeniden yapılandırır.
Varsayılan “akıllı” modda, geliştirici platformları, bulut hizmet konsolları, sosyal medya siteleri ve yetişkinlere yönelik içerik portalları da dahil olmak üzere 170’den fazla yüksek değerli etki alanını proxy ağı üzerinden yönlendirir.
Hariç tutma listesinde, aksamayı ve tespit edilmeyi önlemek için yerel ağlar ve komuta ve kontrol alanı bulunur.
Uzantı, ortadaki adam görevi görürken herhangi bir formdaki verileri (kimlik bilgileri, kart ayrıntıları, şifreler, kişisel bilgiler) yakalayabilir, HTTP başlıklarından oturum çerezlerini çalabilir ve isteklerden API belirteçleri çıkarabilir.
BleepingComputer, Web Mağazası’nda hâlâ mevcut olan uzantılarla ilgili olarak Google ile iletişime geçti ancak henüz bir yorum gelmedi.
Chrome kullanıcılarının yalnızca saygın yayıncıların uzantılarına güvenmeleri, birden fazla kullanıcı incelemesini kontrol etmeleri ve kurulum sırasında istenen izinlere dikkat etmeleri önerilir.
Bozuk IAM yalnızca bir BT sorunu değildir; etkisi tüm işletmenize yayılır.
Bu pratik kılavuz, geleneksel IAM uygulamalarının neden modern taleplere ayak uydurmakta başarısız olduğunu, “iyi” IAM’nin neye benzediğine dair örnekleri ve ölçeklenebilir bir strateji oluşturmak için basit bir kontrol listesini kapsar.