Var du en av de olyckliga 3 miljoner användare som laddade ner skadliga webbläsartillägg som upptäcktes förra året? Google och Microsoft stängde av dem, men tilläggen skadade fortfarande. Säkerhetsföretaget Avast tillhandahåller ytterligare information om dessa webbläsartillägg och vad de gjorde för att uppdatera vår tidigare rapport.
CacheFlow’s Intensions
Dessa skadliga webbläsartillägg ingick i en kampanj som kallades CacheFlow i slutet av 2020 av Avast. Både Google och Microsoft tog bort hoten senast den 18 december efter att ha underrättats om farorna.
CacheFlow-tilläggen försökte dölja kommandot och kontrollera trafiken med hjälp av en Cache-Control HTTP-rubrik för analysförfrågningar. Det antas vara en ny teknik förklädd för att se ut som Google Analytics-trafik. Tillsammans med att dölja det skadliga direktivet anser Avast att författarna till de skadliga tilläggen också ville ha tillgång till analysförfrågningarna.
Majoriteten av nedladdningarna av de skadliga tilläggen kom från Brasilien, Ukraina och Frankrike. Avast fick först reda på webbläsartilläggen genom ett tjeckiskt blogginlägg som följde upp ett av tilläggen och insåg att det utvidgades ytterligare till flera tillägg.
Säkerhetsföretaget insåg också, efter omvänd konstruktion av det fördunklade javaskriptet, att hackarna tillsammans med webbläsarens omdirigering också samlade in användarnas data, inklusive alla deras sökmotorfrågor.
Hackarna var ganska snygga för att undvika att vara ute. De kunde undvika att infektera användare som sannolikt skulle vara webbutvecklare antingen genom tilläggen eller genom att lära sig om användaren hade tillgång till lokalt värd webbplatser. Dessutom undviks skadlig aktivitet i tre dagar efter nedladdningen för att inte varna någon om hackarnas verkliga skadliga avsikter. Tilläggen skulle också inaktiveras om webbläsarutvecklarverktyg öppnades eller användaren googlade en av skadlig programvarans domäner.
Exponering av webbläsartillägg
CacheFlow var dock aktiv i flera år, sedan åtminstone 2017. Det gömde sig tyst hela tiden genom sina smygande insatser. Om du är intresserad av att lära dig exakt hur CacheFlow fungerade och hur Avast slog det, kolla in säkerhetsföretagets blogginlägg.
Avast ger denna detaljerade titt på CacheFlow eftersom det är företagets övertygelse att ”att förstå hur dessa tekniker fungerar kommer att hjälpa andra skadliga forskare att upptäcka och analysera liknande trender i framtiden.”
Det är av liknande skäl som jag täcker de här nyheterna här. Vi vill inte att någon ska bli offer för detta, och ju mer alla vet vad hackare kan, desto mindre kommer de undan.
Cyberkriminella är dock allestädes närvarande. Att hålla koll på sina aktiviteter kräver ständig uppmärksamhet. Ta en titt på hur arbetet hemifrån har lett till en ökning av cyberattacker och falska samarbetsappar.