CacheFlow ukrywał się w dziesiątkach rozszerzeń
O zagrożeniu jako pierwszy informował Edvard Rejthar. Odkrył on, że rozszerzenie Chrome Video Downloader for FaceBook (ID pfnmibjifkhhblmdmaocfohebdpfppkf) potajemnie ładowało ukryty kod JavaScript, który nie miał nic wspólnego z reklamowaną funkcjonalnością rozszerzenia. Tropem tym poszli eksperci Avasta i szybko znaleźli inne wtyczki zachowujące się w identyczny sposób – generując złośliwe przekierowania. Przeważnie rozszerzenia te związane były z pobieraniem materiałów wideo z witryn, które takiej możliwości nie dają, na przykład YouTube i Instagrama.
CacheFlow wyróżnia się w szczególności sposobem, w jaki złośliwe rozszerzenia próbowały ukryć generowaną przez siebie aktywność za pomocą nagłówka HTTP Cache-Control w wysyłanych żądaniach analitycznych. Ruch w stylu Google Analytics został dodany nie tylko po to, aby ukryć złośliwe komendy wtyczek, ale również dlatego, że autorzy malware byli również zainteresowani danymi analitycznymi. Cyberprzestępcy zbierali sporo danych o internautach, takich jak wszystkie wysyłane do wyszukiwarek zapytania lub informacje o tym, na co kliknęli. Dzięki temu nie tylko infekowali komputery, ale mogli też sprzedawać cenne informacje.
Malware CacheFlow pobierane było przede wszystkim w Brazylii, na Ukrainie i we Francji. Rzut oka na mapę infekcji pokazuje jednak, że wtyczki instalowali także Polacy.
Zasięg pobrań szkodliwych rozszerzeń z malware CacheFlow. | Źródło: Avast
Avast podaje, że istnienie szkodliwych rozszerzeń zgłoszono do Google i Microsoft w grudniu ubiegłego roku, a wszystkie niebezpieczne wtyczki z kodem CacheFlow zostały już usunięte. W niedalekiej przyszłości można się spodziewać większej liczby aplikacji wykorzystujących podobne metody działania.
Źródło: Avast