وفقًا لباحثي أمن Socket، فإن هذه الإضافات نشطة منذ عام 2017 على الأقل. جمهورها المستهدف الرئيسي هو المستخدمون في الصين، على الرغم من أنه نظرًا لكثرة المسافرين، فقد تكون موجودة أيضًا على الأجهزة في بلدان أخرى وتصل إلى المستخدمين في الدول العربية.
تعتمد آلية عمل إضافة Phantom Shuttle الخبيثة على إعادة توجيه جميع بيانات مرور المستخدمين عبر خوادم وسيطة يتحكم بها المهاجمون، باستخدام بيانات اعتماد مُضمّنة مباشرةً في الكود. يُدرج الكود الخبيث في بداية مكتبة jQuery الأصلية، ويستخدم نظام فك تشفير أحرف مُخصّص لإخفاء بيانات اعتماد الخادم الوسيط.
علاوة على ذلك، تقوم الإضافات تلقائيًا بضبط إعدادات بروكسي كروم باستخدام برنامج نصي للتكوين التلقائي، مما يضمن مرور جميع حركة المرور عبر شبكة المهاجم.
وباعتبارها هجومًا وسيطًا، يمكن لهذه الإضافات التقاط جميع أنواع البيانات: بيانات اعتماد تسجيل الدخول، ومعلومات البطاقة، وملفات تعريف الارتباط الخاصة بالجلسة، ورموز API.
المستخدمون الذين يقومون بتثبيت هذه الإضافات يخاطرون باعتراض حركة مرور الإنترنت الخاصة بهم واختراق معلوماتهم السرية.
ليست هناك تعليقات:
إرسال تعليق