Avast fornisce ulteriori dettagli sulle estensioni del browser dannose

Avast fornisce ulteriori dettagli sulle estensioni del browser dannose

Eri uno degli sfortunati 3 milioni di utenti che hanno scaricato estensioni del browser dannose scoperte l’anno scorso? Google e Microsoft li hanno chiusi, ma le estensioni hanno comunque fatto dei danni. La società di sicurezza Avast sta fornendo ulteriori dettagli su queste estensioni del browser e su cosa stavano facendo per aggiornare il nostro rapporto precedente.

Intensioni di CacheFlow

Queste estensioni del browser dannoso sono state incluse in una campagna denominata CacheFlow alla fine del 2020 da Avast. Sia Google che Microsoft hanno rimosso le minacce entro il 18 dicembre dopo essere stati informati dei pericoli.

Le estensioni CacheFlow hanno cercato di nascondere il comando e controllare il traffico utilizzando un’intestazione HTTP Cache-Control delle richieste di analisi. Si ritiene che sia una nuova tecnica mascherata per assomigliare al traffico di Google Analytics. Oltre a nascondere la direttiva dannosa, Avast ritiene che gli autori delle estensioni dannose volessero anche accedere alle richieste di analisi.

La maggior parte dei download delle estensioni dannose proveniva da Brasile, Ucraina e Francia. Avast ha appreso per la prima volta delle estensioni del browser tramite un post sul blog ceco che segue una delle estensioni e si è reso conto che si estendeva ulteriormente a più estensioni.

L’azienda di sicurezza si è anche resa conto, dopo il reverse engineering del javascript offuscato, che insieme al reindirizzamento del browser, gli hacker stavano anche raccogliendo i dati degli utenti, comprese tutte le query dei motori di ricerca.

Gli hacker sono stati abbastanza furbi per evitare di essere scoperti. Sono stati in grado di evitare di infettare gli utenti che probabilmente erano sviluppatori web tramite le estensioni o scoprendo se l’utente aveva avuto accesso a siti web ospitati localmente. Inoltre, l’attività dannosa è stata evitata per tre giorni dopo il download per non avvisare nessuno delle vere intenzioni dannose degli hacker. Le estensioni si disattiverebbero anche se gli strumenti di sviluppo del browser fossero aperti o l’utente cercasse su Google uno dei domini del malware.

Esposizione delle estensioni del browser

CacheFlow, tuttavia, è stato attivo per anni, almeno dal 2017. Si è nascosto silenziosamente per tutto quel tempo attraverso i suoi sforzi furtivi. Se sei interessato a scoprire esattamente come funzionava CacheFlow e come Avast lo ha interrotto, dai un’occhiata all’azienda di sicurezza post sul blog.

Laptop Avast Malicious Extensions

Avast fornisce questo sguardo dettagliato a CacheFlow perché è convinto dell’azienda che “la comprensione del funzionamento di queste tecnologie aiuterà altri ricercatori di malware a scoprire e analizzare tendenze simili in futuro”.

È per ragioni simili che sto trattando questa notizia qui. Non vogliamo che nessuno ne rimanga vittima, e più tutti sanno di cosa sono capaci gli hacker, meno se la caveranno.

Tuttavia, i criminali informatici sono onnipresenti. Rimanere al passo con le loro attività richiede un’attenzione costante. Dai un’occhiata a come la tendenza del lavoro da casa ha portato a un aumento degli attacchi informatici e delle app di collaborazione false.