СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Продукты Реклама Политика ПДн
Отчеты
Технологии киберугроз
26.12.2025
#ИБ

Phantom Shuttle: Chrome-расширения, похищающие учётные записи через прокси

Phantom Shuttle — семейство вредоносных расширений для Chrome, активное как минимум с 2017 года, использует сложную цепочку действий для перехвата веб-сеансов и кражи учетных записей с более чем 170 веб‑сайтов. Отточенная модель атаки сочетает внедрение вредоносного JavaScript, настройку вредоносных прокси через PAC‑скрипты и постоянную связь с сервером командования и контроля (C2), что делает кампанию трудной для обнаружения и высокоэффективной для злоумышленников.

Как работает атака

Атака реализуется через вредоносное расширение, которое внедряет собственный JavaScript в посещаемые пользователем страницы. Этот скрипт:

  • декодирует жестко закодированные учетные данные прокси‑серверов;
  • устанавливает или перенастраивает PAC‑скрипт для направления трафика через прокси, контролируемые злоумышленниками;
  • перехватывает cookies, поля форм и токены аутентификации;
  • встраивает в браузер прослушиватель, автоматически отвечающий на запросы аутентификации прокси, обеспечивая беспрепятственный перехват сессий.

Технические артефакты и признаки компрометации

Ключевые технические артефакты, на которые стоит обратить внимание:

  • обфусцированные функции JavaScript и явно определённые строки, используемые для расшифровки учетных данных;
  • PAC‑скрипт, перенаправляющий трафик на серверы злоумышленников;
  • соединения с доменами и IP, выполняющими роль C2 и прокси;
  • поведение браузера: автоматический ответ на HTTP Proxy Authentication и аномальная передача cookie/форм‑полей в сторонние хосты.

«Расширение фактически превращает браузер в агент, который незаметно направляет и расшифровывает трафик через контролируемые злоумышленником прокси».

Соответствие MITRE ATT&CK

Данная кампания сопоставима с несколькими техниками из MITRE ATT&CK:

  • T1176 — Browser Extensions (использование расширений браузера для выполнения вредоносных действий);
  • T1557 — Adversary-in-the-Middle (в частности реализация враждебного прокси для перехвата трафика);
  • T1027 — Obfuscated Files or Information (использование обфускации для сокрытия вредоносного кода).

Рекомендации по немедленному реагированию

Для снижения ущерба эксперты рекомендуют срочно выполнить следующие шаги:

  • Удалить обнаруженные вредоносные расширения с управляемых устройств;
  • Заблокировать сетевой трафик к идентифицированным доменам и IP‑адресам C2 и прокси;
  • Принудительно сбросить пароли для всех потенциально затронутых учетных записей;
  • Провести анализ телеметрии сети и браузера для выявления аномалий (необычные PAC‑запросы, всплески передач cookie/форм‑полей, попытки аутентификации через сторонние прокси).

Меры среднего срока

Для уменьшения риска повторных компрометаций рекомендуется:

  • внедрить строгие политики белого списка расширений и ограничить установку расширений пользователями;
  • улучшить системы обнаружения сетевых аномалий и мониторинга PAC‑скриптов;
  • развернуть передовые решения EDR, способные обнаруживать шаблоны в двоичных файлах и поведении, характерные для подобных расширений;
  • обучить сотрудников безопасному использованию расширений и процедурам проверки привилегий браузера.

Оценка риска и пострадавшие сектора

Угроза оценивается как высокая — комбинированное использование перехвата сессий, доступа к токенам и автоматизированного обхода аутентификации существенно повышает риск компрометации критичных учетных данных. Наибольшая потенциальная вредоносность связана с утечкой данных идентификационных учетных записей, доступом к облачным ресурсам и финансовой информации.

Особо уязвимы следующие группы:

  • разработчики технологий;
  • облачные инженеры;
  • представители финансовых сервисов;
  • организации и группы, активно ведущие торговые операции с Китаем — отмечается заметная фокусировка атак на такие целевые аудитории.

Вывод

Phantom Shuttle демонстрирует, как вредоносные расширения могут стать инструментом сложной, длительной кампании по перехвату веб‑сессий и кражи учетных данных. Комбинация обфускации, враждебного прокси и автоматизированного поведения браузера делает обнаружение и реагирование непростыми, поэтому организациям необходимо оперативно внедрять как технические контрмеры, так и управленческие политики по контролю расширений и мониторингу сетевого поведения.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: