“Phantom Shuttle” adlı iki sahte Chrome uzantısı, meşru VPN hizmetleri gibi görünerek binlerce kullanıcıyı aldatıyor, web trafiğini gizlice ele geçiriyor ve hassas giriş bilgilerini çalıyor.
2017’den bu yana aktif olan bu kötü amaçlı uzantılar, Chrome Web Mağazası aracılığıyla 2.180’den fazla kullanıcıya dağıtıldı ve fark edilmeden çalışmaya devam ediyor.
Planın arkasındaki tehdit aktörü theknewone.com@gmail e-postasını kullanıyor[.]com, farklı görünümlere sahip olmalarına rağmen aynı şekilde çalışan her iki uzantı çeşidini yayınlamak için.
Kurbanlar, tüm çevrimiçi etkinliklerini izleyen ve kimlik bilgilerini sürekli olarak saldırganların kontrolündeki sunuculara gönderen kötü amaçlı yazılım çalıştırdıklarının farkında değiller.
Uzantılar kendilerini geliştiriciler ve Çinli ticaret çalışanları için tasarlanmış “çok konumlu ağ hızı testi eklentileri” olarak pazarlıyor.
Kullanıcılar, Alipay ve WeChat Pay dahil meşru ödeme yöntemleri aracılığıyla 9,9 ila 95,9 yuan (yaklaşık 1,40 ila 13,50 ABD Doları) arasında değişen abonelikler satın alır.
Reklamı yapıldığı gibi çalışan, gerçek gecikme testleri gerçekleştiren ve bağlantı durumunu görüntüleyen işlevsel proxy hizmetleri alırlar.
Bu ticari cephe, arka planda meydana gelen yıkıcı, kötü niyetli faaliyetleri gizlerken sahte bir güvenlik duygusu yaratıyor.
Socket.dev analistleri, uzantıların karmaşık bir kimlik bilgisi ekleme mekanizması aracılığıyla trafiğin tamamını ele geçirdiğini belirledi.
Uzantılar, tüm web sitelerindeki her HTTP kimlik doğrulama isteğini otomatik olarak keser ve kullanıcının bilgisi olmadan sabit kodlanmış proxy kimlik bilgilerini (kullanıcı adı: topfany, şifre: 963852wei) enjekte eder.
Bu, saldırganların tüm tarama trafiğini kendi proxy sunucuları üzerinden yönlendirmesine ve etkin bir ortadaki adam saldırısı oluşturmasına olanak tanır.
Kimlik Doğrulama Ele Geçirme Mekanizması
Kötü amaçlı kod, özellikle jquery-1.12.2.min.js ve scripts.js olmak üzere uzantıyla birlikte verilen değiştirilmiş JavaScript kitaplıklarının içinde gizlenir.
Araştırmacılar, uzantıların, sabit kodlanmış proxy kimlik bilgilerini gizlemek için özel bir karakter dizini kodlama şeması kullandığını ve böylece bunların güvenlik analizi sırasında tespit edilmesini zorlaştırdığını buldu.
Kod, chrome.webRequest.onAuthRequired’a bir dinleyici kaydeder ve bu dinleyici, kullanıcılar herhangi bir istemi görmeden önce kimlik doğrulama sınamalarını engeller.
Tetiklendiğinde dinleyici, asyncBlocking modunu kullanarak sabit kodlanmış kimlik bilgileriyle otomatik olarak yanıt vererek yanıtın kullanıcılara herhangi bir müdahale fırsatı vermeden eşzamanlı olarak gerçekleşmesini sağlar.
Uzantı, phantomshuttle.space adresindeki C2 sunucusuna 60 saniyelik bir sinyal göndererek kullanıcı verilerini sürekli olarak sızdırıyor.
Her kalp atışı iletimi ve VIP durum kontrolü sırasında, uzantı, aktif kullanıcılar için her beş dakikada bir, kullanıcı e-posta adreslerini ve şifrelerini saldırganın altyapısına düz metin olarak gönderir.
Uzantı 23 Aralık 2025 itibarıyla çalışır durumda kalacak ve Socket.dev, Google’ın Chrome Web Mağazası güvenlik ekibine yayından kaldırma istekleri gönderdi.
Bu uzantıları yükleyen kullanıcılar derhal bunları kaldırmalı ve tarayıcılarında kullanılan tüm şifreleri değiştirmelidir.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
