Были ли вы одним из трех миллионов неудачливых пользователей, скачавших вредоносные расширения для браузера, обнаруженные в прошлом году? Google и Microsoft закрыли их, но расширения все равно нанесли некоторый ущерб. Охранная фирма Avast предоставляет дополнительную информацию об этих расширениях браузера и о том, что они задумали, чтобы обновить наш предыдущий отчет.
Намерения CacheFlow
Эти вредоносные расширения браузера были включены в кампанию Avast под названием CacheFlow в конце 2020 года. И Google, и Microsoft устранили угрозы к 18 декабря после получения уведомления об опасностях.
Расширения CacheFlow пытались скрыть трафик команд и управления с помощью HTTP-заголовка Cache-Control аналитических запросов. Считается, что это новая техника, замаскированная под трафик Google Analytics. Avast полагает, что авторы вредоносных расширений не только сокрыли вредоносную директиву, но и хотели получить доступ к аналитическим запросам.
Большинство загрузок вредоносных расширений пришлось на Бразилию, Украину и Францию. Компания Avast впервые узнала о расширениях браузера из сообщения в чешском блоге, посвященного одному из расширений, и поняла, что оно распространяется и на несколько расширений.
После обратного проектирования запутанного JavaScript компания, занимающаяся безопасностью, также поняла, что наряду с перенаправлением браузера хакеры также собирали данные пользователей, включая все их запросы в поисковых системах.
Хакеры действовали весьма хитро, чтобы избежать разоблачения. Им удалось избежать заражения пользователей, которые, вероятно, были веб-разработчиками, либо через расширения, либо узнав, заходил ли пользователь на локально размещенные веб-сайты. Кроме того, вредоносная активность предотвращалась в течение трех дней после загрузки, чтобы никого не предупредить об истинных злонамеренных намерениях хакеров. Расширения также деактивируются, если открываются инструменты разработчика браузера или пользователь гуглит один из доменов вредоносного ПО.
Раскрытие расширений браузера
Однако CacheFlow действовал в течение многих лет, по крайней мере, с 2017 года. Все это время он молча скрывался благодаря своим скрытым усилиям. Если вам интересно узнать, как именно работал CacheFlow и как Avast его сломал, прочтите сообщение в блоге охранной компании.
Avast предоставляет подробный обзор CacheFlow, поскольку компания убеждена, что «понимание того, как работают эти технологии, поможет другим исследователям вредоносного ПО обнаруживать и анализировать аналогичные тенденции в будущем».
По тем же причинам я освещаю здесь эту новость. Мы не хотим, чтобы кто-либо стал жертвой этого, и чем больше каждый будет знать, на что способны хакеры, тем меньше им сойдет с рук.
Однако киберпреступники повсюду. Чтобы оставаться в курсе своей деятельности, требуется постоянное внимание. Посмотрите, как тенденция удаленной работы привела к увеличению количества кибератак и поддельных приложений для совместной работы.
