Die Chrome-Erweiterung Phantom Shuttle gibt vor, harmlose Netzwerk- oder Proxy-Tools bereitzustellen. In Wirklichkeit macht sie genau das, wovor Sicherheitsforscher seit Jahren warnen: Sie sitzt zwischen Dir und dem Internet - und schaut bei allem zu. Passwörter, Cookies, API-Tokens, Formularinhalte. Ein Komplettmitschnitt, direkt aus dem Browser heraus.
Besonders unangenehm: Gleich zwei Versionen von Phantom Shuttle waren im offiziellen Chrome Web Store gelistet. Kein dubioser Download von irgendwo, sondern ganz regulär installierbar. Wer denkt, das sei ein Randproblem, irrt. Laut Analyse waren die Erweiterungen bereits seit 2017 aktiv - unauffällig, geduldig und effektiv.
Technisch ist der Angriff sauber umgesetzt. Die Erweiterung verändert die Proxy-Einstellungen des Browsers über automatische Konfigurationsskripte. Ohne Warnung, ohne sichtbare Änderung. Der gesamte Webverkehr wird anschließend über Server der Angreifer geleitet. Klassischer Man-in-the-Middle, nur eben als Browser-Add-on verpackt. Ironischerweise mit exakt den Rechten, die Nutzer beim Installieren großzügig abnicken.
Der Schadcode selbst ist gut getarnt. Manipulierte JavaScript-Bibliotheken wie jQuery enthalten verschleierte Logik, fest verdrahtete Proxy-Zugangsdaten und obskure Codierungen. Nichts, was beim flüchtigen Blick auffällt. Genau das machte die Erweiterung so langlebig. Laut den Forschern von Socket lassen sich damit Authentifizierungsdaten nahezu aller Webseiten abfangen - inklusive Zahlungsinformationen und Session-Cookies.
Gerade letztere sind das eigentliche Problem. Wer Session-Cookies besitzt, braucht oft keinen zweiten Faktor mehr. Multi-Faktor-Authentifizierung wird damit nicht geknackt, sondern elegant umgangen. Kein Brute Force, kein Exploit. Einfach mitsniffen, solange die Sitzung lebt.
Besonders gezielt agiert Phantom Shuttle im sogenannten „Smarty“-Modus. Hier wird der Traffic nur für ausgewählte Domains umgeleitet - über 170 Stück. Darunter GitHub, Atlassian, Stack Overflow sowie Verwaltungsoberflächen von AWS und Microsoft Azure. Die Zielgruppe ist damit klar: Entwickler, Admins, Unternehmen. Ein kompromittierter Account reicht, um weitere Angriffe auf ganze Infrastrukturen zu starten.
Dass Google trotz Hinweisen die Erweiterungen längere Zeit im Store ließ, rundet das Bild unschön ab. Der Fall zeigt einmal mehr, dass „offiziell“ nicht automatisch „sicher“ bedeutet. Browser-Erweiterungen haben weitreichende Rechte - und werden viel zu selten hinterfragt.
Kommentare (0)