Зловреды в расширениях для Chrome и Edge маскировали трафик под данные Google Analytics

В декабре 2020 года Ars сообщил, что около 3 миллионов человек были заражены расширениями браузера Chrome и Edge, которые крали личные данные и перенаправляли пользователей на рекламные или фишинговые сайты. Теперь исследователи, обнаружившие мошенничество, показали, как долго разработчики расширений скрывали атаки.

Малварь из расширений Chrome и Edge не трогала разработчиков. Случайность? Не думаем. Фото: Pixabay

Как сообщалось ранее, 28 расширений, доступных в официальных репозиториях Google и Microsoft, позиционировали себя как способ загрузки изображений, видео или другого контента с сайтов, включая Facebook, Instagram, Vimeo и Spotify. Они также скрытно собирали даты рождения пользователей, адреса электронной почты и информацию об устройствах. Кроме этого приложения перенаправляли клики и результаты поиска на вредоносные сайты. Google и Microsoft в конечном итоге удалили расширения, сообщает Arstechnica.

Читайте в тему:

Исследователи из пражской компании Avast заявили в среду, что разработчики расширения использовали новый способ скрыть вредоносный трафик, передаваемый между зараженными устройствами и серверами управления, к которым они подключены. ПО перенаправляло команды в заголовки трафика для управления кэшем, которые были замаскированы, чтобы отображаться как данные, связанные с аналитикой Google, которые веб-сайты используют для измерения взаимодействий посетителей.

Ссылаясь на кампанию как CacheFlow, исследователи Avast сообщили:

"CacheFlow отличался, в частности, тем, как вредоносные расширения пытались скрыть свой командный и управляющий трафик в скрытом канале с помощью HTTP-заголовка Cache-Control своих аналитических запросов. Мы считаем, что это новая техника. Вдобавок нам кажется, что трафик в стиле Google Analytics был добавлен не только для того, чтобы скрыть вредоносные команды, но что авторы расширений также интересовались самими аналитическими запросами. Мы считаем, что они пытались решить две проблемы: управление и контроль и получение аналитической информации одним решением".

Расширения, как поясняют в Avast, отправляли то, что выглядело как стандартные запросы аналитики Google, на https: //stats.script-protection [.] Com / __ utm.gif. Затем злоумышленник будет отвечать специально сформированным заголовком Cache-Control, который затем клиент расшифровывает, анализирует и выполняет.

Разработчики расширения использовали оригинальные методы, чтобы замести следы. Например, они избегали атак пользователей, которые могут оказаться веб-разработчиками или исследователями безопасности. Злоумышленники определяли, кто есть кто, изучив расширения, которые уже были установлены пользователями, и проверяли, получил ли пользователь доступ к локально размещённым веб-сайтам. Кроме того, если расширение находило открытые инструменты разработчика браузера, оно быстро деактивировало свои вредоносные функции.

Ранее Startpack сообщил тревожные подробности о работе финтех-приложений, о которых стало известно исследователям.

Startpack также подготовил список популярных и эффективных антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами.

Особая рекомендация: Avast Antivirus — антивирусная программа, предлагающая пользователям 3 варианта уровня защиты, включая бесплатный базовый, а также ряд утилит для производительности и конфиденциальности.