پژوهشگران امنیتی اخیراً دو افزونه برای مرورگر گوگل کروم را شناسایی کردهاند که ترافیک کاربران را از طریق پروکسیهای آلوده هدایت میکردند و در نتیجه اطلاعات حساس را در اختیار افراد مخرب قرار میدادند.
شرکت Socket اعلام کرده این دو افزونه با نام Phantom Shuttle در فروشگاه کروم پیدا شدهاند. در ظاهر، این افزونهها بهعنوان ابزارهای یک سرویس پروکسی معرفی شده بودند که به کاربران امکان میداد ترافیک خود را از طریق پروکسی عبور دهند و سرعت شبکه را آزمایش کنند. مخاطبان اصلی آنها نیز کاربران چینی، از جمله فعالان حوزه تجارت خارجی بودند که نیاز به بررسی اتصال از نقاط مختلف کشور داشتند.
این افزونهها که نخستینبار در سال ۲۰۱۷ در فروشگاه قرار گرفته بودند، حتی اشتراک ماهانه داشتند و هزینه آن بین ۱.۴۰ تا ۱۳.۶۰ دلار متغیر بود.
با وجود اینکه افزونه Phantom Shuttle کارهایی را که وعده داده بود انجام میداد، اما همزمان ترافیک وب کاربران را از طریق پروکسیهایی هدایت میکرد که در اختیار عامل تهدید بود. این کار به مهاجمان امکان میداد به اطلاعات حساسی مانند نام کاربری و رمز عبور، جزئیات کارت بانکی، دادههای شخصی و موارد دیگر دسترسی پیدا کنند.
البته افزونه تمام ترافیک را رهگیری نمیکرد. در عوض، حدود ۱۷۰ دامنه مهم را زیر نظر داشت؛ دامنههایی شامل پلتفرمهای توسعهدهندگان، کنسولهای خدمات ابری، شبکههای اجتماعی و سایتهای محتوای بزرگسال، تا فقط اطلاعات ارزشمند را جمعآوری کند.
شبکههای محلی و دامنههای فرماندهی و کنترل (C2) از این فهرست حذف شده بودند تا افزونهها جلب توجه نکنند. گوگل هر دو افزونه را از فروشگاه کروم حذف کرده و جستوجوی نام Phantom Shuttle دیگر نتیجهای نشان نمیدهد.
مرورگر اینترنت مهمترین نرمافزار روی هر رایانه مدرن است و به همین دلیل یکی از اهداف اصلی مجرمان سایبری محسوب میشود. هرچند مرورگرهای امروزی نسبتاً امن هستند (برای مثال کروم تا اینجای سال ۲۰۲۵ فقط هشت آسیبپذیری روزصفر داشته)، اما افزونهها همچنان نقطهضعف مهمی به شمار میروند و به مهاجمان خلاق اجازه میدهند کد مخرب را وارد برنامه کنند.
