CacheFlow

Una minacciosa campagna che ha distribuito un payload di malware denominato CacheFlow è attiva almeno dal 2017. L'operazione è riuscita a rimanere sotto il radar dei ricercatori di infosec a causa delle estese tecniche di prevenzione del rilevamento soprattutto. L'ambito della campagna prevedeva il rilascio di dozzine di estensioni del browser danneggiate per Google Chrome e Microsoft Edge. I dati raccolti suggeriscono che queste estensioni hanno un conteggio totale dei download di oltre tre milioni. Secondo un'analisi effettuata dai ricercatori, i paesi con gli utenti più colpiti sono Brasile, Ucraina e Francia.

La prima estensione attribuita a questa campagna di attacco si chiamava "Video Downloader for FaceBook ™" e funzionava su Chrome. Le informazioni a riguardo sono state rilasciate in un post sul blog di Edvard Rejthar di CZ.NIC. Apparentemente, l'estensione stava eseguendo un codice JavaScript offuscato che eseguiva attività molto al di fuori delle funzionalità previste elencate negli annunci dell'estensione. Successivamente, si è osservato che dozzine di altre estensioni facevano lo stesso. Sebbene la maggior parte di loro possieda un certo grado di funzionalità legittime, come consentire agli utenti di scaricare video da piattaforme di social media popolari, l'obiettivo principale di questo gruppo di estensioni è fornire il payload CacheFlow.

Una volta distribuito, CacheFlow potrebbe eseguire diverse operazioni minacciose sul sistema compromesso. Può raccogliere dati sensibili degli utenti come date di nascita, indirizzi e-mail, geolocalizzazione, query di ricerca e informazioni sugli URL cliccati. Tuttavia, il payload ha estratto le date di nascita solo dall'account Google dell'utente, con i ricercatori che non hanno trovato alcun tentativo di fare lo stesso per gli account Microsoft. Oltre alla raccolta dei dati, CacheFlow ha stabilito due routine separate: una per il dirottamento dei clic mentre l'altra è responsabile della modifica dei risultati di ricerca. Quando le vittime fanno clic su un collegamento, la minaccia invia le informazioni su di esso a un indirizzo specifico - orgun.johnoil.com e attende una risposta. Se gli aggressori inviano il comando richiesto, CacheFlow può quindi reindirizzare l'utente a un URL completamente diverso. La seconda funzionalità viene attivata quando gli utenti eseguono una ricerca dalla pagina di Google, Yahoo o Bing. CacheFlow raccoglierà quindi la query di ricerca ei risultati prodotti e invierà le informazioni ai propri server Command-and-Control (C2, C&C). Ricevendo il comando appropriato, la minaccia potrebbe quindi alterare alcuni dei risultati visualizzati.

Nuove tecniche di evasione e offuscamento tenevano CacheFlow fuori dalla vista

L'aspetto più distintivo della minaccia, tuttavia, è la sua determinazione a rimanere nascosta. Gli hacker hanno implementato in CacheFlow alcune tecniche raramente o mai viste prima per il rilevamento dell'evitamento. L'estensione inizierà a eseguire la sua minacciosa programmazione dopo essere rimasta inattiva per tre giorni sul sistema infetto. E anche in questo caso, l'attacco intensificherà solo se diversi controlli vengono superati con successo. L'obiettivo degli hacker è evitare di infettare utenti esperti di tecnologia come quelli che lavorano come sviluppatori web. Per determinare se questo è il caso, CacheFlow controlla prima le altre estensioni installate sul sistema e le confronta con un elenco hardcoded di ID estensione. A ciascuna estensione è assegnato un punteggio specifico e se la somma totale supera un valore predeterminato, il payload invia le informazioni raccolte al server C&C per ulteriori istruzioni. I criminali informatici possono quindi decidere di intensificare l'attacco o impedire alla minaccia di continuare la sua programmazione.

Un altro fattore che potrebbe causare la chiusura di CacheFlow è se la vittima viene catturata utilizzando gli strumenti di sviluppo del browser. Una routine separata controlla se la vittima tenta di scavare un po 'più a fondo nella campagna minacciosa cercando su Google uno dei domini C&C. Questa attività verrebbe quindi segnalata agli aggressori.

Per nascondere tutto il traffico di comunicazione tra se stesso e l'infrastruttura C&C, CacheFlow impiega una tecnica piuttosto unica che prevede l'utilizzo dell'intestazione HTTP Cache-Control delle richieste di analisi per stabilire un canale nascosto.