ร probabile che tu stia leggendo questo post del blog utilizzando il tuo browser web.ย ร anche probabile che il tuo browser web abbia varie estensioni che forniscono funzionalitร aggiuntive.ย Di solito crediamo che le estensioni installate dagli store ufficiali dei browser siano sicure.ย Ma non รจ sempre cosรฌ, come abbiamo scoperto di recente.
Intermezzo promozionale ... continua la lettura dopo il box:
Usufruisci di uno sconto per fare un CONTROLLO DELLA REPUTAZIONE PERSONALE o AZIENDALE [ click qui ]
Sono emersi nuovi dettagli su una vasta rete di estensioni canaglia per i browser Chrome ed Edge che si รจ scoperto che dirottano i clic ai collegamenti nelle pagine dei risultati di ricerca a URL arbitrari, inclusi siti di phishing e annunci.
Chiamateย collettivamente ”ย CacheFlowย ” da Avast, le 28 estensioni in questione – tra cui Video Downloader per Facebook, Vimeo Video Downloader, Instagram Story Downloader, VK Unblock – hanno utilizzato un subdolo trucco per mascherare il suo vero scopo: sfruttare l’ย intestazione HTTPย Cache-Controlย un canale nascosto per recuperare i comandi da un server controllato da un utente malintenzionato.
Tutti i componenti aggiuntivi del browser con backdoor sono stati rimossi da Google e Microsoft a partire dal 18 dicembre 2020, per impedire a piรน utenti di scaricarli dagli store ufficiali. Ma รจ meglio controllare le proprie estensioni [ click qui ]
Secondo i dati di telemetria raccolti dall’azienda, i primi tre paesi infetti sono stati Brasile, Ucraina e Francia, seguiti da Argentina, Spagna, Russia e Stati Uniti.
La sequenza CacheFlow รจ iniziata quando gli utenti ignari hanno scaricato una delle estensioni nei loro browser che, al momento dell’installazione, hanno inviato richieste di analisi simili a Google Analytics a un server remoto, che ha quindi trasmesso un’intestazione Cache-Control appositamente predisposta contenente comandi nascosti per recuperare payload di seconda fase che ha funzionato come downloader per il payload JavaScript finale.
CacheFlow si รจ distinto in particolare per il modo in cui le estensioni dannose tentavano di nascondere il loro comando e controllare il traffico in un canale nascosto utilizzando l’ย Cache-Controlintestazione HTTP delle loro richieste di analisi.ย Crediamo che questa sia una nuova tecnica.ย Inoltre, ci sembra che il traffico in stile Google Analytics sia stato aggiunto non solo per nascondere i comandi dannosi, ma che gli autori dell’estensione fossero interessati anche alle richieste di analisi stesse.ย Riteniamo che abbiano cercato di risolvere due problemi, comando e controllo e acquisizione di informazioni di analisi, con un’unica soluzione.
Questo malware JavaScript ha accumulato date di nascita, indirizzi email, geolocalizzazione e attivitร del dispositivo, con un focus specifico sulla raccolta dei dati da Google.
Intermezzo promozionale ... continua la lettura dopo il box:
“Per recuperare il compleanno, CacheFlow ha effettuato una richiesta XHR a https://myaccount.google.com/birthday e ha analizzato la data di nascita dalla risposta”, hanno osservato i ricercatori Avast Jan Vojtฤลกek e Jan Rubรญn.
Nella fase finale, il payload ha iniettato un altro pezzo di JavaScript in ciascuna scheda, utilizzandolo per dirottare i clic che portavano a siti Web legittimi, nonchรฉ modificare i risultati di ricerca da Google, Bing o Yahoo per reindirizzare la vittima a un URL diverso.
Non รจ tutto. Le estensioni non solo evitavano di infettare gli utenti che probabilmente erano sviluppatori web, cosa che veniva dedotta calcolando un punteggio ponderato delle estensioni installate o controllando se accedevano a siti web ospitati localmente (ad esempio, .dev, .local o .localhost ) – sono stati inoltre configurati per non mostrare alcun comportamento sospetto durante i primi tre giorni dopo l’installazione. Avast ha affermato che la miriade di trucchi impiegati dagli autori del malware per sfuggire al rilevamento potrebbe essere stato un fattore cruciale che gli ha permesso di eseguire codice dannoso in background e infettare furtivamente milioni di vittime, con prove che suggeriscono che la campagna potrebbe essere stata attiva almeno da ottobre 2017.
“Di solito crediamo che le estensioni installate dagli store ufficiali dei browser siano sicure”, hanno detto i ricercatori.ย “Ma non รจ sempre cosรฌ, come abbiamo scoperto di recente.”
“CacheFlow si รจ distinto in particolare per il modo in cui le estensioni dannose cercavano di nascondere il loro comando e controllare il traffico in un canale nascosto utilizzando l’intestazione HTTP Cache-Control delle loro richieste di analisi. Crediamo che questa sia una nuova tecnica”.
Fonte : https://thehackernews.com/2021/02/over-dozen-chrome-extensions-caught.html