Értékes célpontok, rejtett adatlopás
A Phantom Shuttle azonban nemcsak azt tette, amit ígért, hanem a felhasználók webes forgalmát a támadók saját proxijain keresztül is átirányította. Így könnyedén hozzáférhettek belépési adatokhoz, bankkártya-információkhoz és személyes azonosítókhoz. Az adatlopás viszont nem volt válogatás nélküli: körülbelül 170 kifejezetten értékes domaint – például fejlesztői platformokat, felhőszolgáltatásokat, közösségi oldalakat vagy felnőttoldalakat – figyeltek, hogy célzottan csak a valóban releváns adatokat szerezzék meg.
Profi rejtőzködés, végül eltávolítás
A kártevő nem figyelte a helyi hálózatokat vagy a vezérlő (C2) domaineket, így kevésbé keltett gyanút. A Google azóta már eltávolította mindkét bővítményt, a „Phantom Shuttle” kifejezésre már semmi sem jelenik meg az áruházban. Ez az incidens jól mutatja, hogy a böngészőbővítmények továbbra is veszélyes hátországot jelenthetnek, ezért mindenkinek ajánlott különös óvatossággal eljárni, amikor kiegészítőket tölt le és telepít, még akkor is, ha a Chrome biztonsága egyébként magas szintű.
