Avast研究人员发现,大量恶意Chrome和Egde浏览器扩展程序被用来劫持搜索结果页面中的链接到任意URL,包括钓鱼网站和广告。Avast研究人员发现了一个使用浏览器扩展来劫持搜索结果的攻击活动——CacheFlow。其中,28个恶意Chrome和Egde浏览器扩展使用Cache-ControlHTTP标头作为隐蔽通道,从攻击者控制的服务器中提取命令。涉及的浏览器扩展包括VideoDownloaderforFacebook、VimeoVideoDownloader、InstagramStoryDownloader、VKUnblock。Avast分析发现,下载和安装CacheFlow扩展的前3个国家是巴西、乌克兰和法国,其次是阿根廷、西班牙、俄罗斯和美国。CacheFlow攻击流程如下:CacheFlow攻击始于用户在浏览器中下载恶意扩展程序。恶意扩展程序安装后,会向远程服务器发送类似GoogleAnalytics的分析请求,然后返回一个伪造好的包含隐藏命令的Cache-Control头。隐藏命令的作用是提取第二阶段的payload,也就是JSpayload的最终A下载器。JS恶意软件收集出生日期、电子邮件地址、地理位置、设备活动等。为了获取生日信息,CacheFlow解析对https://myaccount.google.com/birthday的XHR请求,并从响应消息中解析出生日期。最后,payload会将另一端的JS代码注入到每个选项卡中,用于劫持合法网站的点击,修改Google、Bing、Yahoo等的搜索结果,并将受害者重新路由到不同的URL。关于恶意扩展的一件有趣的事情是它们避免感染像Web开发人员这样的用户。恶意扩展会计算用户安装的扩展权重或检查是否有本地建站,如.dev、.local、.localhost等,安装后3天内无可疑恶意行为.从Chrome网上应用店的用户评论来看,CacheFlow自2017年10月以来一直处于活跃状态。一般而言,用户会信任官方浏览器商店安装的扩展程序,认为它们是安全的,但近年来的研究发现,来自官方商店的应用程序和扩展程序并不一定安全。CacheFlow攻击使用分析请求中的Cache-ControlHTTP标头作为隐蔽通道来隐藏其命令和控制流量,研究人员认为这是一种新技术。CacheFlow隐藏C2命令进程所有与CacheFlow攻击相关的恶意浏览器扩展已于2020年12月18日被谷歌和微软移除,以防止用户继续下载。已经下载的用户可以删除相关扩展,防止恶意攻击。完整的技术分析见:https://decoded.avast.io/janvojtesek/backdoored-browser-extensions-hid-malicious-traffic-in-analytics-requests/本文翻译自:https://thehackernews.com/2021/02/over-dozen-chrome-extensions-caught.html
