恶意的Chrome和Edge插件具有隐藏300万设备的新颖方法

2021-02-06 20:36:21

去年12月,Ars报告称,多达300万人被Chrome和Edge浏览器扩展程序感染,这些扩展程序窃取了个人数据并将用户重定向到广告或网络钓鱼网站。现在,发现该骗局的研究人员已经透露了扩展程序开发人员隐藏其恶行的时间。

如之前的报道,在Google和Microsoft官方存储库中提供的28个扩展程序进行了自我宣传,以此作为从Facebook,Instagram,Vimeo和Spotify等网站下载图片,视频或其他内容的一种方式。在幕后,他们还收集了用户的生日,电子邮件地址和设备信息,并将点击和搜索结果重定向到恶意网站。 Google和Microsoft最终删除了这些扩展。总部位于布拉格的Avast的研究人员周三表示,扩展程序开发人员采用了一种新颖的方法来隐藏在受感染设备及其连接的命令和控制服务器之间发送的恶意流量。具体来说,这些扩展程序将命令集中到流量的缓存控制标头中,这些标头被伪装成与Google Analytics(分析)有关的数据,网站用来评估访问者的互动。

CacheFlow尤其值得注意,因为恶意扩展会尝试使用其分析请求的Cache-Control HTTP标头来隐藏其命令并控制秘密通道中的流量。我们认为这是一项新技术。另外,在我们看来,增加了Google Analytics(分析)样式的流量不仅是为了隐藏恶意命令,而且扩展作者也对分析请求本身感兴趣。我们相信他们试图通过一种解决方案解决两个问题,即命令和控制以及获取分析信息。

Avast解释说,这些扩展将似乎是标准的Google Analytics(分析)请求发送到了https://stats.script-protection [。] com / __ utm.gif。然后,攻击者服务器将以特殊格式的Cache-Control标头进行响应,然后客户端将对其解密,解析和执行。

避免感染可能是Web开发人员或研究人员的用户。开发人员通过检查用户已经安装的扩展并检查用户是否访问了本地托管的网站来做到这一点。此外,如果扩展程序检测到浏览器开发人员工具已打开,它将迅速停用其恶意功能。

检查用户进行的每个Google搜索查询。如果查询询问用于命令和控制的扩展的服务器,则这些扩展将立即停止其恶意活动。

根据用户对某些扩展的评论,CacheFlow活动自2017年10月以来似乎一直处于活动状态。Avast表示,其发现的隐秘措施可能解释了为何长时间未检测到活动。

Ars的先前报道列出了全部28个发现为恶意的扩展程序的名称。 周三的Avast后续行动提供了其他危害指标,人们可以检查该指标是否受到感染。