Viac ako tucet rozšírení Chrome pristihnutých pri únose výsledkov vyhľadávania Google pre milióny ľudí

Objavili sa nové podrobnosti o obrovskej sieti nečestných rozšírení pre prehliadače Chrome a Edge, o ktorých sa zistilo, že unášajú kliknutia na odkazy na stránkach s výsledkami vyhľadávania na ľubovoľné adresy URL vrátane phishingových stránok a reklám.

Súhrnne nazývané „CacheFlow“ od spoločnosti Avast, 28 príslušných rozšírení – vrátane Video Downloader pre Facebook, Vimeo Video Downloader, Instagram Story Downloader, VK Unblock – použil záludný trik na maskovanie svojho skutočného účelu: Využite hlavičku HTTP Cache-Control ako skrytý kanál na získavanie príkazov zo servera ovládaného útočníkom.

Všetky doplnky prehliadača so zadnými vrátkami boli odstránené spoločnosťami Google a Microsoft k 18. decembru 2020, aby zabránili väčšiemu počtu používateľov stiahnuť si ich z oficiálnych obchodov.

Podľa telemetrických údajov zhromaždených firmou boli tromi najviac infikovanými krajinami Brazília, Ukrajina a Francúzsko, po ktorých nasledovali Argentína, Španielsko, Rusko a USA.

Sekvencia CacheFlow sa začala, keď si nič netušiaci používatelia stiahli jedno z rozšírení do svojich prehliadačov, ktoré po inštalácii odosielali analytické požiadavky pripomínajúce službu Google Analytics na vzdialený server, ktorý potom odoslal späť špeciálne vytvorenú hlavičku Cache-Control obsahujúcu skryté príkazy na načítanie užitočné zaťaženie druhej fázy, ktoré fungovalo ako sťahovanie konečného obsahu JavaScriptu.

Tento malvér JavaScript zhromaždil dátumy narodenia, e-mailové adresy, geolokáciu a aktivitu zariadenia s osobitným zameraním na zhromažďovanie údajov od spoločnosti Google.

“Na získanie dátumu narodenia CacheFlow požiadal o XHR na https://myaccount.google.com/birthday a z odpovede analyzoval dátum narodenia,” poznamenali výskumníci Avast Jan Vojtěšek a Jan Rubín.

V poslednom kroku užitočné zaťaženie vložilo do každej karty ďalší kus JavaScriptu a použilo ho na ukradnutie kliknutí vedúcich na legitímne webové stránky, ako aj na úpravu výsledkov vyhľadávania zo služieb Google, Bing alebo Yahoo s cieľom presmerovať obeť na inú adresu URL.

To nie je všetko. Rozšírenia nielenže zabránili infikovaniu používateľov, ktorí boli pravdepodobne webovými vývojármi – niečo, čo sa dalo odvodiť výpočtom váženého skóre nainštalovaných rozšírení alebo kontrolou, či pristupovali na lokálne hosťované webové stránky (napr. .dev, .local alebo .localhost ) — boli tiež nakonfigurované tak, aby nevykazovali žiadne podozrivé správanie počas prvých troch dní po inštalácii.

Avast uviedol, že nespočetné množstvo trikov, ktoré použili autori malvéru, aby unikli detekcii, mohli byť kľúčovým faktorom, ktorý mu umožnil spustiť škodlivý kód na pozadí a tajne infikovať milióny obetí, pričom dôkazy naznačujú, že kampaň mohla byť aktívna prinajmenšom od októbra. 2017.

“Zvyčajne veríme, že rozšírenia nainštalované z oficiálnych obchodov prehliadačov sú bezpečné,” uviedli vedci. “Ale to nie je vždy prípad, ako sme nedávno zistili.”

“CacheFlow bol pozoruhodný najmä tým, ako sa škodlivé rozšírenia pokúšali skryť svoje príkazy a riadiť prevádzku v skrytom kanáli pomocou hlavičky Cache-Control HTTP svojich analytických požiadaviek. Veríme, že ide o novú techniku.”

Úplný zoznam indikátorov kompromisu (IoC) spojených s kampaňou nájdete tu.