CacheFlow

En truende kampagne, der har distribueret en malware-nyttelast med navnet CacheFlow, har været aktiv siden mindst 2017. Operationen har formået at forblive under radaren fra infosec-forskere på grund af omfattende opdagelsesundgåelses-teknikker for det meste. Kampagnens omfang omfattede frigivelse af snesevis af beskadigede browserudvidelser til Google Chrome og Microsoft Edge. Indsamlede data antyder, at disse udvidelser har et samlet antal downloads på over tre millioner. Ifølge en analyse udført af forskerne er de lande med de mest berørte brugere Brasilien, Ukraine og Frankrig.

De første udvidelser, der tilskrives denne angrebskampagne, blev navngivet 'Video Downloader til FaceBook ™' og arbejdede på Chrome. Oplysninger om det blev frigivet i et blogindlæg af Edvard Rejthar fra CZ.NIC. Tilsyneladende udførte udvidelsen en tilsløret JavaScript-kode, der udførte opgaver langt uden for den forventede funktionalitet, der er anført i udvidelsens reklamer. Derefter blev snesevis af andre udvidelser observeret for at gøre det samme. Selvom de fleste af dem har en vis grad af legitime funktioner, såsom at give brugerne mulighed for at downloade videoer fra populære sociale medieplatforme, er denne gruppe af udvidelser 'hovedmål at levere CacheFlow-nyttelasten.

Når CacheFlow blev implementeret, kunne det udføre flere truende operationer på det kompromitterede system. Det kan høste følsomme brugerdata såsom fødselsdatoer, e-mail-adresser, geolokalisering, søgeforespørgsler og information om klikede webadresser. Imidlertid udnyttes nyttelasten kun fødselsdatoer fra brugerens Google-konto, hvor forskere ikke finder nogen forsøg på at gøre det samme for Microsoft-konti. Ud over dataindsamlingen etablerede CacheFlow to separate rutiner - den ene til kapring af klik, mens den anden er ansvarlig for at ændre søgeresultaterne. Når ofre klikker på et hvilket som helst link, sender truslen oplysninger om det til en bestemt adresse - orgun.johnoil.com og venter på et svar. Hvis angriberne sender den krævede kommando, kan CacheFlow derefter omdirigere brugeren til en anden URL helt. Den anden funktionalitet udløses, når brugerne foretager en søgning fra siden fra enten Google, Yahoo eller Bing. CacheFlow samler derefter søgeforespørgslen og de producerede resultater og sender informationen til sine Command-and-Control (C2, C&C) servere. Ved at modtage den korrekte kommando kan truslen derefter ændre nogle af de viste resultater.

Nye undvigelses- og tiltrækningsteknikker opbevares cacheFlow Out of Sight

Det mest karakteristiske aspekt af truslen er imidlertid dens beslutsomhed om at forblive skjult. Hackerne har implementeret i CacheFlow nogle sjældent eller aldrig før set teknikker til detektion af undgåelse. Udvidelsen begynder at udføre sin truende programmering efter at have ligget i dvale i tre dage på det inficerede system. Og selv da vil det kun eskalere angrebet, hvis flere kontroller gennemføres med succes. Målet med hackerne er at undgå at inficere teknologisk kyndige brugere som dem, der arbejder som webudviklere. For at afgøre, om dette er tilfældet, kontrollerer CacheFlow først de andre installerede udvidelser på systemet og sammenligner dem med en hardkodet liste over udvidelses-id'er. Hver udvidelse har en bestemt score tildelt, og hvis den samlede sum overstiger en forudbestemt værdi, sender nyttelasten de indsamlede oplysninger til C&C-serveren for yderligere instruktioner. Cyberkriminelle kan derefter beslutte at eskalere angrebet eller stoppe truslen fra at fortsætte med programmeringen.

En anden faktor, der kan få CacheFlow til at lukke sig selv, er, hvis offeret bliver fanget ved hjælp af browserudviklerværktøjerne. En separat rutine kontrollerer, om offeret forsøger at grave lidt dybere ned i den truende kampagne ved at google et af C & C-domænerne. Denne aktivitet vil derefter blive rapporteret til angriberne.

For at skjule al kommunikationstrafik mellem sig selv og C & C-infrastrukturen anvender CacheFlow en temmelig unik teknik, der involverer brug af Cache-Control HTTP-headeren i analytiske anmodninger til at etablere en skjult kanal.