有关适用于Chrome和Edge浏览器的大量恶意扩展网络的新细节已经出现,发现它们劫持了指向搜索结果页面中指向任意URL的链接的点击,其中包括钓鱼网站和广告。
被Avast统称为“ CacheFlow ”,涉及的28个扩展(包括Facebook的视频下载器,Vimeo视频下载器,Instagram故事下载器,VK Unblock)利用了一个狡猾的技巧来掩盖其真正目的:利用Cache-Control HTTP标头作为隐藏通道,用于从攻击者控制的服务器中检索命令。
截至2020年12月18日,所有后门浏览器附加组件均已被Google和Microsoft删除,以防止更多用户从官方商店下载它们。
根据该公司收集的遥测数据,感染最严重的三个国家是巴西,乌克兰和法国,其次是阿根廷,西班牙,俄罗斯和美国。
当不知情的用户在浏览器中下载了其中一个扩展程序时,就开始了CacheFlow序列。安装后,这些扩展程序将类似于Google Analytics(分析)的分析请求发送到远程服务器,然后远程回传特制的Cache-Control标头,其中包含隐藏命令以获取第二阶段有效负载,充当最终JavaScript有效负载的下载器。
该JavaScript恶意软件累积了出生日期,电子邮件地址,地理位置和设备活动,尤其着重于从Google收集数据。
“为了检索生日,CacheFlow向https://myaccount.google.com/birthday发出了XHR请求,并从响应中解析出了出生日期,” Avast研究人员JanVojtěšek和JanRubín说道。
在最后一步中,有效负载向每个选项卡注入了另一段JavaScript,使用它劫持了通往合法网站的点击,并修改了Google,Bing或Yahoo的搜索结果,以将受害者重新路由到另一个URL。
那不是全部。这些扩展不仅避免感染可能是Web开发人员的用户,而且可以通过计算安装的扩展的加权分数或检查他们是否访问了本地托管的网站(例如.dev,.local或.localhost)来推论得出。 )-它们还配置为在安装后的前三天内不显示任何可疑行为。
Avast表示,恶意软件作者采用多种方法逃避检测,这可能是使其能够在后台执行恶意代码并秘密感染数百万受害者的关键因素,有证据表明,该活动至少自10月以来就一直在进行2017。
研究人员说:“我们通常相信从官方浏览器商店安装的扩展程序是安全的。” “但是,并非如我们最近发现的那样总是如此。”
“ CacheFlow尤其值得注意,因为恶意扩展试图使用其分析请求的Cache-Control HTTP标头来隐藏其命令并控制秘密通道中的流量。我们认为这是一种新技术。”
与活动相关的危害指标(IoC)的完整列表可以在此处访问。
*编译:Domino
*来自:thehackernews
文章评论