- Phantom Shuttle menyamar sebagai VPN atau proxy yang sah sambil mencegat semua lalu lintas browser.
- Kedua varian tersebut, yang dirilis pada tahun 2017 dan 2023, mengumpulkan data dari ribuan pengguna selama bertahun-tahun tanpa terdeteksi.
- Ekstensi tersebut mengalihkan lalu lintas dari lebih dari 170 layanan bernilai tinggi dan mengirimkan kredensial serta data sensitif ke server penyerang.
- Kasus ini menyoroti risiko model perizinan Chrome dan perlunya meninjau ekstensi serta hak aksesnya.
Dalam beberapa hari terakhir, sebuah kasus telah terungkap yang sekali lagi menimbulkan kecurigaan terhadap keamanan sebenarnya dari ekstensi browserInvestigasi yang dilakukan oleh perusahaan keamanan siber Socket telah mengungkapkan bahwa Dua add-on Google Chrome telah mengumpulkan data pribadi selama bertahun-tahun. dari mereka yang memasangnya, tanpa sebagian besar pengguna memiliki sedikit pun petunjuk tentang apa yang sedang terjadi.
Ekstensi ini, disajikan sebagai Alat VPN dan proxy untuk jelajahi dengan lebih amanSekilas semuanya tampak berfungsi dengan baik: koneksi stabil, kecepatan bagus, dan panel yang mensimulasikan layanan profesional. Namun, di balik layar... Mereka mencegat lalu lintas peramban dan meneruskannya ke server yang dikendalikan oleh penyerang.yang mengubah setiap sesi penjelajahan menjadi potensi kebocoran informasi sensitif.
Ekstensi mana yang mencuri data dan berapa lama.
Kasus ini berpusat pada dua varian ekstensi yang sama yang diberi nama sebagai Pesawat Ulang-alik Hantu, yang dipromosikan sebagai solusi untuk gunakan VPN atau layanan proxyVersi pertama muncul pada tahun 2017 dan versi kedua pada tahun 2023, jadi Penipuan tersebut telah berlangsung setidaknya selama delapan tahun., menggabungkan kedua iterasi tersebut.
Meskipun tidak mencapai jutaan unduhan, Ya, mereka menjangkau ribuan pengguna secara total.dengan kehadiran yang sangat kuat di Tiongkok. Namun, karena didistribusikan melalui Chrome Web Store, tidak ada yang mencegahnya dari Perangkat tersebut pada akhirnya juga akan dipasang di peralatan di Eropa, Spanyol, atau negara lain.khususnya di kalangan orang yang bepergian atau sering berpindah tempat dan menggunakan jenis perangkat ini.
Kedua versi Phantom Shuttle dipromosikan dengan pendekatan yang sangat mirip: janji penjelajahan pribadi, verifikasi koneksi, dan dukungan pengembang. yang ingin mencoba layanan dari lokasi yang berbeda. Bagi pengguna biasa, ekstensi ini mungkin tampak seperti add-on berguna lainnya dalam katalog resmi Chrome.
Para peneliti Socket, yang temuannya diperkuat oleh media khusus seperti... Bleeping Computermereka menunjukkan bahwa Kedua varian tersebut memiliki tujuan yang sama.: memiliki akses terus-menerus ke lalu lintas browser dan kredensial yang dimasukkan pengguna pada halaman-halaman bernilai tinggi.
Bagaimana penipuan di balik Phantom Shuttle bekerja
Perilaku jahat tersebut sebagian besar diaktifkan setelah pengguna membayar biaya berlangganan dan memperoleh apa yang disebut "status VIP"Pembayaran dilakukan dalam mata uang yuan Tiongkok melalui Alipay, sesuatu yang mungkin sudah tampak aneh bagi mereka yang tidak tinggal di negara tersebut, meskipun banyak yang menerimanya karena mengira itu adalah layanan yang berbasis di Tiongkok.
Sejak saat itu, perluasan tersebut mulai berfungsi sebagai perantara tak terlihat antara pengguna dan situs web yang mereka kunjungiUntuk mencapai hal ini, Phantom Shuttle Program tersebut menyuntikkan kode berbahaya ke dalam dua pustaka JavaScript yang banyak digunakan, yaitu jquery dan script.js.Dengan memodifikasi file-file ini, dia mampu mencegat permintaan otentikasi HTTP dan menyusup ke alur komunikasi normal.
Saat sebuah situs web meminta kredensial, ekstensi tersebut menanggapi dengan data proksi yang dimodifikasi (seperti pengidentifikasi topfany / 963852wei) dan, pada saat yang sama, memperoleh akses ke apa yang diketik pengguna: emailkata sandi dan informasi login lainnya. Manuver ini memungkinkannya untuk secara diam-diam mengumpulkan kunci dan token akses dari berbagai layanan.
Selain itu, Phantom Shuttle mengkonfigurasi Chrome untuk memaksa lalu lintas dari lebih dari 170 domain bernilai tinggi untuk melewati servernya sendiri. Daftar ini mencakup platform pengembangan, layanan cloud, dan jejaring sosial terkenal, sehingga melipatgandakan jumlah informasi sensitif yang dapat diaksesnya.
Sementara semua ini terjadi, ekstensi tersebut terus menunjukkan perilaku yang tampak normal: pengujian latensi benar, kecepatan tidak terpengaruh, dan panel kontrol menunjukkan bahwa VPN tersebut berfungsi tanpa masalah.Rasa normalitas inilah salah satu alasan mengapa penipuan tersebut dapat berlanjut begitu lama tanpa menimbulkan kecurigaan yang jelas di antara sebagian besar pihak yang terkena dampaknya.
Jenis data apa yang bocor dan layanan mana yang menjadi targetnya?
Sistem pengumpulan informasi dirancang agar bersifat konstan. Menurut analisis Socket, Setiap beberapa menit, ekstensi tersebut mengirimkan data ke server kontrol. dikendalikan oleh penyerang, sehingga memungkinkan pengumpulan informasi secara terus-menerus.
Data yang berpotensi terekspos meliputi: nomor kartu kredit, riwayat penelusuran, kata sandi, alamat email, cookie sesi, dan kunci APIDalam praktiknya, data apa pun yang dimasukkan pengguna ke dalam formulir atau yang merupakan bagian dari sesi terautentikasi mereka dapat berakhir di tangan pihak ketiga.
Daftar layanan tujuan pengalihan lalu lintas meliputi: GitHub, Stack Overflow, Docker, AWS, Azure, Digital Ocean, Cisco, IBM, dan VMware, selain jaringan sosial seperti Facebook, Instagram, dan Twitter lama....dan bahkan situs konten dewasa. Ini berarti bahwa Akun profesional, proyek pengembangan, infrastruktur cloud, dan profil pribadi bisa saja terganggu pada saat yang bersamaan.
Bagi pengguna di Eropa dan Spanyol, potensi dampaknya tidak terbatas pada ranah pribadi: Akses tanpa izin ke kredensial perusahaan atau layanan cloud dapat menyebabkan celah keamanan di perusahaan, dengan kemungkinan konsekuensi hukum dan ekonomi, terutama di bawah payung Peraturan Perlindungan Data Umum (GDPR).
Para peneliti menekankan bahwa Ini bukanlah virus biasa maupun kegagalan yang terjadi sekali saja.melainkan penipuan yang terus-menerus, dirancang dengan cermat untuk memanfaatkan kepercayaan yang dihasilkan dari menemukan ekstensi yang tampak sah di toko resmi dan, terlebih lagi, terkait dengan layanan berbayar.
Mengapa mendeteksi ekstensi berbahaya begitu sulit?
Salah satu aspek yang paling meresahkan dari kasus Pesawat Ulang-alik Phantom adalah bahwa, Terlepas dari perilakunya yang jelas-jelas jahat, pengalaman pengguna hampir tidak memberikan indikasi bahwa ada sesuatu yang salah.VPN tersebut tampaknya berfungsi, koneksinya stabil, dan pengguna melihat persis apa yang mereka harapkan dari layanan jenis ini.
Hal ini sebagian disebabkan oleh Ekstensi browser memiliki izin yang sangat luas.Mereka dapat mengakses konten halaman yang kita kunjungi, melihat apa yang kita ketik di formulir, dan bahkan memodifikasi lalu lintas yang keluar dari komputer kita. Jika sebuah plugin dengan hak akses ini bertindak jahat, Tidak selalu ada tanda-tanda yang terlihat pada antarmuka atau pada kinerja. yang memungkinkan untuk dideteksi dengan mata telanjang.
Model perizinan Chrome telah lama menjadi subjek kritik. Banyak ekstensi meminta akses ke riwayat penelusuran, tab yang terbuka, atau fungsi proksi yang, jika jatuh ke tangan yang salah, memungkinkan kontrol yang sangat mendalam atas aktivitas pengguna. Dalam kasus Phantom Shuttle, izin-izin ini dibenarkan dengan klaim bahwa hal tersebut diperlukan untuk mengelola koneksi VPN.
Menurut para ahli, masalahnya bukan hanya keberadaan ekstensi berbahaya, tetapi juga bahwa Mereka tidak selalu mendeteksi perilaku abnormal. Sistem ulasan otomatis Chrome Web Store, terutama ketika pengembang bersusah payah mensimulasikan layanan yang sah dengan langganan, deskripsi terperinci, dan peringkat yang tampak normal.
Semua ini menempatkan pengguna dalam situasi yang sulit: Mempercayai toko resmi tidak menjamin 100% bahwa semua yang ada di dalamnya aman.Namun, mengabaikan ekstensi sepenuhnya juga tidak realistis, karena banyak di antaranya memang bermanfaat dan sah.
Risiko dan rekomendasi bagi pengguna di Spanyol dan Eropa
Meskipun fokus awal kasus ini adalah pada China, tempat Phantom Shuttle berkonsentrasi. sebagian besar fasilitasnyaImplikasinya jauh lebih luas. Penggunaan Chrome yang meluas di Eropa, termasuk Spanyol, berarti bahwa Tidak dapat dikesampingkan bahwa ekstensi tersebut ada pada peralatan di wilayah tersebut.baik itu di komputer pribadi, laptop kantor, atau perangkat perjalanan.
Dari perspektif perlindungan data, ada kemungkinan kata sandi, kartu, dan cookie sesi pengguna Eropa dapat disalahgunakan. telah dicegat Hal ini menimbulkan pertanyaan tentang kepatuhan GDPR oleh organisasi yang terkena dampak. Jika akun perusahaan yang diretas memberikan akses ke informasi pelanggan, insiden tersebut dapat dianggap sebagai pelanggaran keamanan yang harus dilaporkan kepada pihak berwenang yang relevan.
Dalam situasi seperti ini, para spesialis merekomendasikan Periksa dengan saksama ekstensi yang terpasang di browser Anda. dan hapus instalasi add-on apa pun yang tidak benar-benar diperlukan atau yang asal-usulnya tidak jelas. Sebaiknya periksa juga izin yang diminta setiap ekstensi, terutama jika ekstensi tersebut meminta... akses ke lalu lintas, fungsi proksi, atau membaca data di semua situs web.
Bagi mereka yang yakin telah menggunakan Phantom Shuttle atau ekstensi serupa, tindakan paling bijaksana adalah mengubah kata sandi untuk layanan yang paling sensitif. aktifkan otentikasi dua langkah bila tersedia. Hal ini juga berguna untuk memantau aktivitas yang tidak biasa dalam rekening keuangan dan akses yang tidak biasa ke platform perusahaan.
Di ranah kelembagaan, kasus ini memperkuat pentingnya perusahaan dan administrasi publik di Spanyol dan Eropa. Tetapkan kebijakan yang jelas tentang penggunaan ekstensi pada komputer kerja.Membatasi instalasi hanya pada add-on yang telah diverifikasi dan, jika memungkinkan, diaudit.
Episode Phantom Shuttle ini berfungsi sebagai pengingat bahwa Ekstensi browser bisa jauh lebih berbahaya daripada halaman web biasa.Malware ini bertindak secara terus-menerus, memiliki akses yang lama ke browser, dan, jika berbahaya, dapat mengubah setiap sesi menjadi kesempatan untuk mencuri informasi. Menjaga browser tetap bersih dari add-on yang tidak perlu, meninjau izin, dan waspada terhadap janji-janji yang terlalu muluk telah menjadi bagian penting dari keamanan browser. kebersihan digital harian.
