Em dezembro do ano passado, a Avast revelou que 28 extensões maliciosas de navegadores disponíveis para download do Google Chrome e Microsoft Edge foram infectados com malware. Agora, o Laboratório de Ameaças da Avast traz mais detalhes sobre essa pesquisa, mostrando o que essas extensões de navegadores mal-intencionadas procuram: roubar informações sigilosas das contas do Google da vítima, sequestrar cliques dos usuários e modificar os resultados de pesquisas, enviando as vítimas para sites ou propagandas falsas.
Dentre as descobertas dos especialistas da Avast está o modo que os criadores dessas extensões maliciosas as usaram. Trata-se de uma nova tática dos cibercriminosos para ocultar o tráfego de Comando e Controle (C&C), tentando fazer com que parecesse ser tráfego do Google Analytics. Os criadores também incluíram táticas para tentar se esconder de desenvolvedores e analistas de malware.
Ainda de acordo com a Avast, os ataques aconteciam ao longo de dias, da seguinte forma:
1. A vítima baixa uma extensão maliciosa.
2. Três dias após a instalação, o código malicioso usa um canal secreto para baixar um downloader intermediário.
3. O downloader intermediário baixa uma carga útil CacheFlow.
4. Cada vez que o navegador é executado, a carga útil CacheFlow:
• Executa verificações de desenvolvedor e anti-análise.
• Faz tentativas para roubar informações sigilosas da conta do Google do usuário.
• Um código é injetado em cada nova aba, quando aberta.
• O malware rouba os cliques do usuário e modifica os resultados de suas pesquisas.
“CacheFlow foi notável em particular pela maneira como as extensões maliciosas tentavam ocultar seu comando e controlar o tráfego em um canal secreto, usando um cabeçalho HTTP de Controle de Cache em suas solicitações de análise. Acreditamos que esta é uma nova técnica. Além disso, parece que o tráfego no estilo do Google Analytics foi agregado não apenas para ocultar comandos maliciosos, mas de forma que os autores da extensão também estivessem interessados nas solicitações de análise em si. Acreditamos que eles tentavam resolver dois problemas: comando e controle, e obter informações analíticas com uma solução”, diz Jan Vojtěšek, Pesquisador de Malware da Avast.
Jan Rubín, que também é Pesquisador de Malware da Avast acrescenta: “conseguimos encontrar muitas outras extensões que estavam fazendo a mesma coisa, ou seja, ofereciam várias funcionalidades legítimas, muitas delas baixando vídeos para plataformas populares de mídia social. Após a engenharia reversa do JavaScript ofuscado, descobrimos que a principal carga maliciosa entregue por essas extensões era responsável por redirecionamentos maliciosos do navegador. Não só isso, mas os cibercriminosos também estavam coletando muitos dados sobre os usuários de extensões maliciosas, como todas as suas consultas de mecanismo de pesquisa ou informações sobre tudo o que clicaram”.
O levantamento da Avast ainda mostra que as extensões exibiram um nível bastante alto de furtividade ao empregar muitos truques, para diminuir as chances de detecção. Em primeiro lugar, os cibercriminosos evitaram infectar usuários que provavelmente seriam desenvolvedores web. Eles determinaram isso por meio das extensões que o usuário instalou ou verificando se o usuário acessou sites hospedados localmente. Além disso, as extensões atrasaram sua atividade maliciosa por pelo menos três dias após a instalação, para evitar um alerta precoce.
Quando o malware detectava que as ferramentas do desenvolvedor do navegador estavam abertas, ele desativava imediatamente sua funcionalidade maliciosa. CacheFlow também verificou todas as consultas de pesquisa do Google e se o usuário estava pesquisando por um dos domínios de Comando e Controle (C&C) do malware, então, relatava isso ao seu servidor C&C e podia também desativar a si próprio. De acordo com análises de usuários na Chrome Web Store, parece que CacheFlow estava ativo pelo menos desde outubro de 2017.
A Avast ressalta que pelo menos 3 milhões de usuários em todo o mundo baixaram e instalaram as extensões maliciosas para o Google Chrome. Com base em sua telemetria, a companhia ainda aponta que os três principais países onde os usuários baixaram e instalaram as extensões CacheFlow foram: Brasil, Ucrânia e França.
Na ocasião, a Avast notificou o Google e a Microsoft, e ambas as empresas retiraram todas as 28 extensões maliciosas até 18 de dezembro de 2020.