Зловреды в расширениях для Chrome и Edge маскировали трафик под данные Google Analytics
Малварь из расширений Chrome и Edge не трогала разработчиков. Случайность? Не думаем. Фото: Pixabay
Как сообщалось ранее, 28 расширений, доступных в официальных репозиториях Google и Microsoft, позиционировали себя как способ загрузки изображений, видео или другого контента с сайтов, включая Facebook, Instagram, Vimeo и Spotify. Они также скрытно собирали даты рождения пользователей, адреса электронной почты и информацию об устройствах. Кроме этого приложения перенаправляли клики и результаты поиска на вредоносные сайты. Google и Microsoft в конечном итоге удалили расширения, сообщает Arstechnica.
Читайте в тему:
- Google запрещает сертификаты Camerfirma в Chrome.
- Google разворачивает средства защиты Chrome от новой атаки NAT Slipstreaming.
- Новый сервис McAfee MVISION XDR автоматизирует проверку угроз и прогнозирует защиту.
Исследователи из пражской компании Avast заявили в среду, что разработчики расширения использовали новый способ скрыть вредоносный трафик, передаваемый между зараженными устройствами и серверами управления, к которым они подключены. ПО перенаправляло команды в заголовки трафика для управления кэшем, которые были замаскированы, чтобы отображаться как данные, связанные с аналитикой Google, которые веб-сайты используют для измерения взаимодействий посетителей.
Ссылаясь на кампанию как CacheFlow, исследователи Avast сообщили:
"CacheFlow отличался, в частности, тем, как вредоносные расширения пытались скрыть свой командный и управляющий трафик в скрытом канале с помощью HTTP-заголовка Cache-Control своих аналитических запросов. Мы считаем, что это новая техника. Вдобавок нам кажется, что трафик в стиле Google Analytics был добавлен не только для того, чтобы скрыть вредоносные команды, но что авторы расширений также интересовались самими аналитическими запросами. Мы считаем, что они пытались решить две проблемы: управление и контроль и получение аналитической информации одним решением".
Расширения, как поясняют в Avast, отправляли то, что выглядело как стандартные запросы аналитики Google, на https: //stats.script-protection [.] Com / __ utm.gif. Затем злоумышленник будет отвечать специально сформированным заголовком Cache-Control, который затем клиент расшифровывает, анализирует и выполняет.
Разработчики расширения использовали оригинальные методы, чтобы замести следы. Например, они избегали атак пользователей, которые могут оказаться веб-разработчиками или исследователями безопасности. Злоумышленники определяли, кто есть кто, изучив расширения, которые уже были установлены пользователями, и проверяли, получил ли пользователь доступ к локально размещённым веб-сайтам. Кроме того, если расширение находило открытые инструменты разработчика браузера, оно быстро деактивировало свои вредоносные функции.
Ранее Startpack сообщил тревожные подробности о работе финтех-приложений, о которых стало известно исследователям.
Startpack также подготовил список популярных и эффективных антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами.
Особая рекомендация: Avast Antivirus — антивирусная программа, предлагающая пользователям 3 варианта уровня защиты, включая бесплатный базовый, а также ряд утилит для производительности и конфиденциальности.
Комментариев пока не было