Conheça CacheFlow, uma rede de extensões maliciosas de navegadores descoberta pela empresa de segurança digital Avast no ano passado.
Em dezembro do ano passado, a Avast revelou que 28 extensões maliciosas de navegadores disponíveis para download do Google Chrome e Microsoft Edge foram infectados com malware.
Agora, o Laboratório de Ameaças da Avast traz mais detalhes sobre essa pesquisa, mostrando o que essas extensões de navegadores mal-intencionadas procuram: roubar informações sigilosas das contas do Google da vítima, sequestrar cliques dos usuários e modificar os resultados de pesquisas, enviando as vítimas para sites ou propagandas falsas.
Conheça CacheFlow, uma rede de extensões maliciosas de navegadores
Dentre as descobertas dos especialistas da Avast está o modo que os criadores dessas extensões maliciosas as usaram.
Trata-se de uma nova tática dos cibercriminosos para ocultar o tráfego de Comando e Controle (C&C), tentando fazer com que parecesse ser tráfego do Google Analytics.
Os criadores também incluíram táticas para tentar se esconder de desenvolvedores e analistas de malware.
Ainda de acordo com a Avast, os ataques aconteciam ao longo de dias, da seguinte forma:
1. A vítima baixa uma extensão maliciosa.
2. Três dias após a instalação, o código malicioso usa um canal secreto para baixar um downloader intermediário.
3. O downloader intermediário baixa uma carga útil CacheFlow.
4. Cada vez que o navegador é executado, a carga útil CacheFlow:
-
Executa verificações de desenvolvedor e anti-análise.
-
Faz tentativas para roubar informações sigilosas da conta do Google do usuário.
-
Um código é injetado em cada nova aba, quando aberta.
-
O malware rouba os cliques do usuário e modifica os resultados de suas pesquisas.
Jan Vojtěšek,pesquisador de Malware da Avast, disse que:
“CacheFlow foi notável em particular pela maneira como as extensões maliciosas tentavam ocultar seu comando e controlar o tráfego em um canal secreto, usando um cabeçalho HTTP de Controle de Cache em suas solicitações de análise. Acreditamos que esta é uma nova técnica. Além disso, parece que o tráfego no estilo do Google Analytics foi agregado não apenas para ocultar comandos maliciosos, mas de forma que os autores da extensão também estivessem interessados nas solicitações de análise em si. Acreditamos que eles tentavam resolver dois problemas: comando e controle, e obter informações analíticas com uma solução.”
Jan Rubín, que também é Pesquisador de Malware da Avast, acrescenta:
“conseguimos encontrar muitas outras extensões que estavam fazendo a mesma coisa, ou seja, ofereciam várias funcionalidades legítimas, muitas delas baixando vídeos para plataformas populares de mídia social. Após a engenharia reversa do JavaScript ofuscado, descobrimos que a principal carga maliciosa entregue por essas extensões era responsável por redirecionamentos maliciosos do navegador. Não só isso, mas os cibercriminosos também estavam coletando muitos dados sobre os usuários de extensões maliciosas, como todas as suas consultas de mecanismo de pesquisa ou informações sobre tudo o que clicaram.”
Na ocasião, a Avast notificou o Google e a Microsoft, e ambas as empresas retiraram todas as 28 extensões maliciosas até 18 de dezembro de 2020.
No blog Decoded da Avast há mais detalhes técnicos sobre este ataque.
[postlist tags=”stream” requesttype=”1″ number=”4″]
