Dos extensiones de Chrome están robando datos de los usuarios: revisa si las tienes instaladas
Dos extensiones maliciosas en la Chrome Web Store, llamadas Phantom Shuttle, interceptan tráfico web y roban credenciales de usuarios, permaneciendo activas desde 2017.
Investigadores de seguridad han alertado sobre dos extensiones maliciosas en la Chrome Web Store llamadas Phantom Shuttle, que se presentan como herramientas para probar la conectividad y utilizar un servicio de proxy, pero que en realidad roban información sensible de los usuarios.
Según los investigadores de seguridad de Socket, estas extensiones han estado activas desde al menos 2017. Su público principal son usuarios en China, aunque debido al amplio tránsito de viajeros también podrían estar presentes en dispositivos de otros países y llegar a usuarios en occidente.
El modus operandi de Phantom Shuttle consiste en redirigir todo el tráfico web de los usuarios a través de proxies controlados por los atacantes, utilizando credenciales codificadas directamente en el código. El código malicioso se inserta al inicio de la librería jQuery legítima y emplea un sistema de decodificación de caracteres personalizado para ocultar las credenciales de los proxies.
Además, las extensiones configuran automáticamente los ajustes de proxy de Chrome mediante un script de auto-configuración, garantizando que todo el tráfico pase a través de la red del atacante.
Actuando como un ataque man-in-the-middle, estas extensiones pueden capturar todo tipo de datos: credenciales de acceso, información de tarjetas, cookies de sesión y tokens de API.
Los usuarios que instalen estas extensiones están en riesgo de que su tráfico web sea interceptado y su información confidencial comprometida.