جزئیات جدیدی در مورد یک شبکه گسترده از Extensionهای مرورگرهای Chrome و Edge کشف شده است که کاربران با کلیک کردن روی لینکها در صفحات نتایج جستجو، به URLهای دلخواه اپراتور از جمله سایتهای فیشینگ و تبلیغات منتقل و از این طریق مورد سوءاستفاده قرار میگیرند.
در مجموع “CacheFlow” که توسط Avast نامیده میشود، شامل ۲۸ افزونه از جمله Video Downloader for Facebook ،Vimeo Video Downloader ،Instagram Story Downloader ،VK Unblock است که از یک ترفند بصورت پنهانی استفاده کردند تا هدف واقعی خود را مخفی سازند: یعنی از هدر HTTP Cache-Control به عنوان یک کانال مخفی برای بازیابی دستورات از یک سرور کنترل شده توسط مهاجم استفاده کنند.
تمام افزونههای مرورگرهای Backdoor شده از تاریخ ۱۸ دسامبر سال ۲۰۲۰ توسط گوگل و مایکروسافت حذف شدهاند تا از بارگیری بیشتر آنها توسط کاربران از فروشگاههای رسمی جلوگیری شود.
دنباله CacheFlow از آنجا شروع شد که کاربران یکی از افزونههای آلوده را در مرورگرهای خود بارگیری کرده و پس از نصب، یک هدر Cache-Control ساخته شده شامل دستورات پنهان برای واکشی Payload مرحلهدوم(second-stage) که به عنوان یک بارگیری کننده برای Payload نهایی جاوا اسکریپت عمل میکند، باز میگردد.
این بدافزار جاوا اسکریپت با تمرکز ویژه بر جمعآوری دادهها از Google، اطلاعاتی شامل تاریخ تولد، آدرسهای ایمیل، موقعیت جغرافیایی و فعالیت دستگاهها را جمعآوری میکند.
محققان Avast گفتند: برای بازیابی تاریخ تولد، CacheFlow درخواست XHR را به https://myaccount.google.com/birthday ارسال میکند.
در مرحله آخر، Payload قسمت دیگری از JavaScript را به هر برگه تزریق میکند و از آن برای دزدیدن کلیکهای متعلق به وبسایتهای قانونی و همچنین تغییر نتایج جستجو Google ،Bing یا Yahoo برای تغییر مسیر قربانی به یک URL دیگر استفاده میکند.
این افزونهها علاوه بر جلوگیری از آلوده شدن کاربرانی که احتمالاً توسعه دهنده وب هستند، به طوری پیکربندی شدهاند که طی سه روز اول پس از نصب، هیچ رفتار مشکوکی از خود بروز ندهند.
لیست افزونههای آلوده شده گوگل Chrome:
- Direct Message for Instagram
- DM for Instagram
- Invisible mode for Instagram Direct Message
- Downloader for Instagram
- App Phone for Instagram
- Stories for Instagram
- Universal Video Downloader
- Video Downloader for FaceBook™
- Vimeo™ Video Downloader
- Zoomer for Instagram and FaceBook
- VK UnBlock. Works fast.
- Odnoklassniki UnBlock. Works quickly.
- Upload photo to Instagram™
- Spotify Music Downloader
- The New York Times News
- FORBES
- Скачать фото и видео из Instagram
لیست افزونههای آلوده شده Edge:
- Direct Message for Instagram™
- Instagram Download Video & Image
- App Phone for Instagram
- Universal Video Downloader
- Video Downloader for FaceBook™
- Vimeo™ Video Downloader
- Volume Controller
- Stories for Instagram
- Upload photo to Instagram™
- Pretty Kitty, The Cat Pet
- Video Downloader for YouTube
- SoundCloud Music Downloader
- Instagram App with Direct Message DM
- Downloader for Instagram
Avast گفت: ممکن است ترفندهای بیشماری که توسط نویسندگان این بدافزار برای فرار از شناسایی به کار رفته است، عامل مهمی باشد که به آنها اجازه میدهد کد مخربی را در پسزمینه اجرا کنند. شواهدی نشان میدهد این کمپین ممکن است حداقل از اکتبر ماه سال ۲۰۱۷ فعال و میلیونها قربانی را به طور پنهانی آلوده کرده باشد.
محققان گفتند: ما معمولاً اطمینان داریم که افزونههای نصب شده از فروشگاههای رسمی مرورگر ایمن هستند و همیشه اینطور نیست که ما اخیراً کشف کردهایم.
یک نظر