Avast gibt weitere Details zu bösartigen Browsererweiterungen bekannt

Avast Malicious Extensions Featured

Waren Sie einer der unglücklichen 3 Millionen Nutzer, die bösartige Browsererweiterungen heruntergeladen haben, die letztes Jahr entdeckt wurden? Google und Microsoft haben sie abgeschaltet, aber die Erweiterungen haben dennoch einige Schäden angerichtet. Das Sicherheitsunternehmen Avast gibt weitere Details zu diesen Browsererweiterungen und deren Aktivitäten bekannt, um unseren früheren Bericht zu aktualisieren.

CacheFlows Absichten

Diese bösartigen Browsererweiterungen waren Teil einer Kampagne, die von Avast Ende 2020 als CacheFlow bezeichnet wurde. Sowohl Google als auch Microsoft entfernten die Bedrohungen bis zum 18. Dezember, nachdem sie über die Gefahren informiert worden waren.

Die CacheFlow-Erweiterungen versuchten, den Kommando- und Kontrollverkehr mithilfe eines Cache-Control-HTTP-Headers von Analyseanfragen zu verbergen. Es wird angenommen, dass es sich um eine neue Technik handelt, die als Google Analytics-Verkehr getarnt ist. Neben der Verschleierung des bösartigen Befehls glaubt Avast, dass die Autoren der bösartigen Erweiterungen auch Zugriff auf die Analyseanfragen wollten.

Avast Malicious Extensions Hacker

Die Mehrheit der Downloads der bösartigen Erweiterungen kam aus Brasilien, der Ukraine und Frankreich. Avast erfuhr erstmals durch einen tschechischen Blogbeitrag über die Browsererweiterungen, der eine der Erweiterungen nachverfolgte, und stellte fest, dass es sich um mehrere Erweiterungen handelte.

Das Sicherheitsunternehmen stellte auch fest, dass die Hacker, nachdem sie das obfuskierte Javascript rückentwickelt hatten, neben der Umleitung des Browsers auch die Daten der Nutzer sammelten, einschließlich aller ihrer Suchanfragen.

Die Hacker waren ziemlich clever, um nicht enttarnt zu werden. Sie konnten vermeiden, Nutzer zu infizieren, die wahrscheinlich Webentwickler waren, entweder durch die Erweiterungen oder indem sie herausfanden, ob der Nutzer auf lokal gehostete Websites zugegriffen hatte. Darüber hinaus wurde bösartige Aktivität drei Tage nach dem Download vermieden, um niemanden auf die wahren bösartigen Absichten der Hacker aufmerksam zu machen. Die Erweiterungen würden auch deaktiviert, wenn die Entwicklertools des Browsers geöffnet wurden oder der Nutzer eine der Domains der Malware googelte.

Enthüllung der Browsererweiterungen

CacheFlow war jedoch seit mindestens 2017 aktiv. Es versteckte sich all die Zeit still durch seine Tarnbemühungen. Wenn Sie daran interessiert sind, genau zu erfahren, wie CacheFlow funktionierte und wie Avast es aufdeckte, werfen Sie einen Blick auf den Blogbeitrag des Sicherheitsunternehmens.

Avast Malicious Extensions Laptop

Avast bietet diesen detaillierten Einblick in CacheFlow, weil das Unternehmen glaubt, dass “das Verständnis, wie diese Technologien funktionieren, anderen Malware-Forschern helfen wird, ähnliche Trends in der Zukunft zu entdecken und zu analysieren.”

Aus ähnlichen Gründen berichte ich hier über diese Nachrichten. Wir wollen nicht, dass jemand Opfer davon wird, und je mehr jeder weiß, wozu Hacker fähig sind, desto weniger werden sie damit durchkommen.

Cyberkriminelle sind jedoch allgegenwärtig. Um über ihre Aktivitäten informiert zu bleiben, ist ständige Aufmerksamkeit erforderlich. Werfen Sie einen Blick darauf, wie der Trend zum Arbeiten von zu Hause aus zu einem Anstieg von Cyberangriffen und gefälschten Kollaborationsanwendungen geführt hat.