Avast предоставляет дополнительные сведения о вредоносных расширениях браузера
Были ли вы одним из 3 миллионов незадачливых пользователей, загрузивших вредоносные расширения для браузера, обнаруженные в прошлом году? Google и Microsoft закрыли их, но расширения все равно нанесли некоторый ущерб. Фирма по безопасности Avast предоставляет дополнительные сведения об этих расширениях браузера и о том, что они делали для обновления нашего предыдущего отчета.
CacheFlow’s Intensions
Эти вредоносные расширения для браузера были включены в кампанию под названием CacheFlow в конце 2020 года компанией Avast. И Google, и Microsoft удалили угрозы к 18 декабря после того, как получили уведомление об опасности.
Расширения CacheFlow пытались скрыть командный и управляющий трафик с помощью HTTP-заголовка Cache-Control запросов аналитики. Считается, что это новая технология, замаскированная под трафик Google Analytics. Avast считает, что помимо сокрытия вредоносной директивы авторы вредоносных расширений также хотели получить доступ к аналитическим запросам.
Большинство загрузок вредоносных расширений пришло из Бразилии, Украины и Франции. Впервые Avast узнал о расширениях браузера из публикации в чешском блоге, посвященной одному из расширений, и понял, что он распространяется на несколько расширений.
После реинжиниринга обфусцированного javascript компания по безопасности также осознала, что наряду с перенаправлением браузера хакеры также собирают данные пользователей, включая все их запросы поисковых систем.
Хакеры были довольно хитры, чтобы не быть раскрытыми. Они смогли избежать заражения пользователей, которые могли быть веб-разработчиками, либо через расширения, либо узнав, заходил ли пользователь на локальные веб-сайты. Кроме того, злонамеренной активности удалось избежать в течение трех дней после загрузки, чтобы никого не предупредить об истинных злонамеренных намерениях хакеров. Расширения также деактивируются, если открываются инструменты разработчика браузера или пользователь ищет в Google один из доменов вредоносной программы.
Открытие расширений браузера
Однако CacheFlow был активен в течение многих лет, по крайней мере, с 2017 года. Все это время он молча скрывался из-за своих скрытых усилий. Если вам интересно узнать, как именно работает CacheFlow и как его заблокировал Avast, ознакомьтесь с материалами службы безопасности. Сообщение блога.
Avast предоставляет подробный анализ CacheFlow, поскольку компания считает, что «понимание того, как работают эти технологии, поможет другим исследователям вредоносных программ обнаружить и проанализировать аналогичные тенденции в будущем».
По тем же причинам я освещаю здесь эту новость. Мы не хотим, чтобы кто-то стал жертвой этого, и чем больше каждый знает, на что способны хакеры, тем меньше им сойдет с рук.
Однако киберпреступники вездесущи. Чтобы быть в курсе своих дел, нужно постоянно уделять внимание. Посмотрите, как тенденция работы на дому привела к увеличению числа кибератак и поддельных приложений для совместной работы.
Эта статья полезна? да нет
