Avastが悪意のあるブラウザ拡張機能の詳細を提供
昨年発見された悪意のあるブラウザ拡張機能をダウンロードした不運な300万人のユーザーの一人でしたか? GoogleとMicrosoftはそれらを停止しましたが、拡張機能は依然としていくつかの被害をもたらしました。セキュリティ企業のAvastは、これらのブラウザ拡張機能とそれらが何をしていたのかについての詳細を提供し、以前の報告を更新しています。
CacheFlowの意図
これらの悪意のあるブラウザ拡張機能は、2020年末にAvastによってCacheFlowと呼ばれるキャンペーンに含まれていました。 GoogleとMicrosoftは、危険性を通知された後、12月18日までに脅威を削除しました。
CacheFlow拡張機能は、分析リクエストのCache-Control HTTPヘッダーを使用してコマンドおよび制御トラフィックを隠そうとしました。これは、Google Analyticsトラフィックのように見せかける新しい手法であると考えられています。悪意のある指示を隠すだけでなく、Avastは悪意のある拡張機能の作者が分析リクエストへのアクセスも望んでいたと考えています。
悪意のある拡張機能のダウンロードの大部分は、ブラジル、ウクライナ、フランスから来ました。 Avastは、拡張機能の1つを追跡するチェコのブログ投稿を通じてブラウザ拡張機能を最初に知り、それが複数の拡張機能にまで広がっていることを認識しました。
このセキュリティ企業は、難読化されたJavaScriptを逆コンパイルした後、ブラウザのリダイレクションに加えて、ハッカーがユーザーのデータ、すべての検索エンジンのクエリを収集していることも認識しました。
ハッカーは、暴露されないように非常に巧妙でした。彼らは、拡張機能を通じて、またはユーザーがローカルホストされたウェブサイトにアクセスしたかどうかを学ぶことによって、ウェブ開発者である可能性のあるユーザーを感染させることを避けることができました。さらに、ダウンロード後3日間は悪意のある活動を避け、ハッカーの真の悪意の意図を誰にも警告しないようにしました。ブラウザの開発者ツールが開かれたり、ユーザーがマルウェアのドメインの1つをGoogleで検索したりすると、拡張機能は無効になります。
ブラウザ拡張機能の暴露
しかし、CacheFlowは少なくとも2017年から数年間活動していました。その間、静かに隠れていました。CacheFlowがどのように機能し、Avastがそれをどのように暴露したのかを正確に知りたい場合は、セキュリティ企業のブログ投稿をチェックしてください。
Avastは、CacheFlowについての詳細な見解を提供しています。なぜなら、「これらの技術がどのように機能するかを理解することが、他のマルウェア研究者が将来の類似のトレンドを発見し、分析するのに役立つと信じているからです。」
私がここでこのニュースを取り上げているのも同様の理由からです。誰もがこれに犠牲になってほしくなく、ハッカーが何をすることができるかをみんなが知れば知るほど、彼らは逃げることが少なくなるでしょう。
サイバー犯罪者は常に存在しています。しかし、彼らの活動を把握するには常に注意が必要です。テレワークのトレンドがサイバー攻撃や偽のコラボレーションアプリの増加につながっている様子を見てみましょう。
