Avast Fornece Mais Detalhes sobre Extensões de Navegador Maliciosas

Avast Malicious Extensions Featured

Você foi um dos infelizes 3 milhões de usuários que baixaram extensões de navegador maliciosas que foram descobertas no ano passado? O Google e a Microsoft as desativaram, mas as extensões ainda causaram alguns danos. A empresa de segurança Avast está fornecendo mais detalhes sobre essas extensões de navegador e o que elas estavam fazendo para atualizar nosso relatório anterior.

Intenções do CacheFlow

Essas extensões de navegador maliciosas foram incluídas em uma campanha chamada CacheFlow no final de 2020 pela Avast. Tanto o Google quanto a Microsoft removeram as ameaças até 18 de dezembro, após serem notificadas sobre os perigos.

As extensões do CacheFlow tentaram esconder o tráfego de comando e controle usando um cabeçalho HTTP Cache-Control de solicitações de análise. Acredita-se que seja uma nova técnica disfarçada para parecer tráfego do Google Analytics. Juntamente com a ocultação da diretiva maliciosa, a Avast acredita que os autores das extensões maliciosas também queriam acesso às solicitações de análise.

Avast Malicious Extensions Hacker

A maioria dos downloads das extensões maliciosas veio do Brasil, Ucrânia e França. A Avast soube pela primeira vez das extensões de navegador através de um post em um blog tcheco que seguia uma das extensões e percebeu que se estendia para várias extensões.

A empresa de segurança também percebeu, após engenharia reversa do javascript ofuscado, que juntamente com a redireção do navegador, os hackers também estavam coletando dados dos usuários, incluindo todas as suas consultas de mecanismos de busca.

Os hackers foram bastante astutos para evitar serem descobertos. Eles conseguiram evitar infectar usuários que provavelmente eram desenvolvedores web, seja através das extensões ou aprendendo se o usuário havia acessado sites hospedados localmente. Além disso, a atividade maliciosa foi evitada por três dias após o download para não alertar ninguém sobre as verdadeiras intenções maliciosas dos hackers. As extensões também desativariam se as ferramentas de desenvolvedor do navegador fossem abertas ou se o usuário pesquisasse um dos domínios do malware.

Expondo as Extensões de Navegador

O CacheFlow, no entanto, estava ativo por anos, desde pelo menos 2017. Ele estava silenciosamente se escondendo todo esse tempo através de seus esforços furtivos. Se você está interessado em aprender exatamente como o CacheFlow funcionou e como a Avast o desmascarou, confira o post no blog da empresa de segurança.

Avast Malicious Extensions Laptop

A Avast fornece este olhar detalhado sobre o CacheFlow porque acredita que “entender como essas tecnologias funcionam ajudará outros pesquisadores de malware a descobrir e analisar tendências semelhantes no futuro.”

É por razões semelhantes que estou cobrindo esta notícia aqui. Não queremos que ninguém se torne vítima disso, e quanto mais todos souberem do que os hackers são capazes, menos eles conseguirão escapar.

Os cibercriminosos estão onipresentes, no entanto. Manter-se atualizado sobre suas atividades requer atenção constante. Dê uma olhada em como a tendência de trabalho remoto levou a um aumento em ciberataques e aplicativos de colaboração falsos.