Avast fournit plus de détails sur les extensions de navigateur malveillantes

Étiez-vous l’un des malheureux 3 millions d’utilisateurs qui ont téléchargé des extensions de navigateur malveillantes découvertes l’année dernière ? Google et Microsoft les ont fermées, mais les extensions ont tout de même causé des dommages. La société de sécurité Avast fournit plus de détails sur ces extensions de navigateur et ce qu’elles ont fait pour mettre à jour notre rapport précédent.

Intentions de CacheFlow

Ces extensions de navigateur malveillantes ont été incluses dans une campagne appelée CacheFlow à la fin de 2020 par Avast. Google et Microsoft ont supprimé les menaces d’ici le 18 décembre après avoir été informés des dangers.

Les extensions CacheFlow ont essayé de cacher le trafic de commande et de contrôle en utilisant un en-tête HTTP Cache-Control des requêtes d’analyse. On pense qu’il s’agit d’une nouvelle technique déguisée pour ressembler au trafic de Google Analytics. En plus de cacher la directive malveillante, Avast pense que les auteurs des extensions malveillantes voulaient également accéder aux requêtes d’analyse.

La majorité des téléchargements des extensions malveillantes provenaient du Brésil, d’Ukraine et de France. Avast a d’abord appris l’existence des extensions de navigateur par un article de blog tchèque faisant suite à l’une des extensions et a réalisé qu’elle s’étendait à plusieurs extensions.

La société de sécurité a également réalisé, après avoir effectué une rétro-ingénierie du javascript obfusqué, qu’en plus de la redirection du navigateur, les hackers collectaient également les données des utilisateurs, y compris toutes leurs requêtes de moteur de recherche.

Les hackers étaient assez astucieux pour éviter d’être démasqués. Ils ont pu éviter d’infecter les utilisateurs susceptibles d’être des développeurs web, soit par le biais des extensions, soit en apprenant si l’utilisateur avait accédé à des sites web hébergés localement. De plus, une activité malveillante a été évitée pendant trois jours après le téléchargement pour ne pas alerter quiconque des véritables intentions malveillantes des hackers. Les extensions se désactivaient également si les outils de développement du navigateur étaient ouverts ou si l’utilisateur recherchait l’un des domaines du malware sur Google.

Exposer les extensions de navigateur

CacheFlow, cependant, était actif depuis des années, depuis au moins 2017. Il se cachait silencieusement tout ce temps grâce à ses efforts de furtivité. Si vous êtes intéressé à apprendre exactement comment CacheFlow fonctionnait et comment Avast l’a démasqué, consultez l’article de blog de la société de sécurité.

Avast fournit ce regard détaillé sur CacheFlow parce qu’il est de la croyance de l’entreprise que “comprendre comment ces technologies fonctionnent aidera d’autres chercheurs en malware à découvrir et analyser des tendances similaires à l’avenir.”

C’est pour des raisons similaires que je couvre cette nouvelle ici. Nous ne voulons pas que quiconque tombe victime de cela, et plus tout le monde sait ce dont les hackers sont capables, moins ils s’en tireront.

Les cybercriminels sont omniprésents, cependant. Rester au courant de leurs activités nécessite une attention constante. Jetez un œil à la façon dont la tendance du travail à domicile a conduit à une augmentation des cyberattaques et des fausses applications de collaboration.