CacheFlow

Een bedreigende campagne die een malware-payload met de naam CacheFlow verspreidt, is actief sinds ten minste 2017. De operatie is erin geslaagd om onder de radar van infosec-onderzoekers te blijven dankzij uitgebreide detectie-vermijdingstechnieken meestal. De reikwijdte van de campagne omvatte de release van tientallen beschadigde browserextensies voor Google Chrome en Microsoft Edge. De verzamelde gegevens suggereren dat deze extensies een totaal aantal downloads hebben van meer dan drie miljoen. Volgens een analyse van de onderzoekers zijn de landen met de meest getroffen gebruikers Brazilië, Oekraïne en Frankrijk.

De eerste extensies die aan deze aanvalscampagne werden toegeschreven, heetten 'Video Downloader for FaceBook ™' en werkten op Chrome. Informatie erover werd vrijgegeven in een blogpost door Edvard Rejthar van CZ.NIC. Blijkbaar voerde de extensie een versluierde JavaScript-code uit die taken uitvoerde die ver buiten de verwachte functionaliteit lagen die in de advertenties van de extensie werd vermeld. Vervolgens werd waargenomen dat tientallen andere extensies hetzelfde deden. Hoewel de meeste van hen over een zekere mate van legitieme functionaliteiten beschikken, zoals het toestaan van gebruikers om video's te downloaden van populaire sociale mediaplatforms, is het hoofddoel van deze groep extensies om de CacheFlow-payload te leveren.

Wanneer CacheFlow wordt ingezet, kan het verschillende bedreigende bewerkingen uitvoeren op het gecompromitteerde systeem. Het kan gevoelige gebruikersgegevens verzamelen, zoals geboortedata, e-mailadressen, geolocatie, zoekopdrachten en informatie over aangeklikte URL's. De payload haalde de geboortedata echter alleen uit het Google-account van de gebruiker, en onderzoekers vonden geen pogingen om hetzelfde te doen voor Microsoft-accounts. Naast het verzamelen van gegevens heeft CacheFlow twee afzonderlijke routines opgesteld: een voor het kapen van klikken, terwijl de andere verantwoordelijk is voor het wijzigen van zoekresultaten. Wanneer slachtoffers op een link klikken, stuurt de dreiging informatie erover naar een specifiek adres - orgun.johnoil.com en wacht op een reactie. Als de aanvallers het vereiste commando sturen, kan CacheFlow de gebruiker omleiden naar een geheel andere URL. De tweede functionaliteit wordt geactiveerd wanneer gebruikers een zoekopdracht uitvoeren vanaf de pagina van Google, Yahoo of Bing. CacheFlow verzamelt vervolgens de zoekopdracht en de geproduceerde resultaten en stuurt de informatie naar de Command-and-Control-servers (C2, C&C). Door het juiste commando te ontvangen, kan de dreiging enkele van de weergegeven resultaten wijzigen.

Nieuwe technieken voor ontwijking en obfuscatie hielden CacheFlow uit het zicht

Het meest onderscheidende aspect van de dreiging is echter de vastberadenheid om verborgen te blijven. De hackers hebben in CacheFlow enkele zelden of nooit eerder vertoonde technieken geïmplementeerd om ontwijkingsdetectie te voorkomen. De extensie begint met het uitvoeren van zijn bedreigende programmering nadat hij drie dagen inactief heeft gelegen op het geïnfecteerde systeem. En zelfs dan zal het de aanval alleen escaleren als verschillende controles met succes zijn doorstaan. Het doel van de hackers is om te voorkomen dat technisch onderlegde gebruikers, zoals degenen die werken als webontwikkelaars, worden geïnfecteerd. Om te bepalen of dit het geval is, controleert CacheFlow eerst de andere geïnstalleerde extensies op het systeem en vergelijkt deze met een hardcoded lijst van extensie-ID's. Elke extensie krijgt een specifieke score toegewezen, en als het totale bedrag een vooraf bepaalde waarde overschrijdt, stuurt de payload de verzamelde informatie naar de C & C-server voor verdere instructies. De cybercriminelen kunnen dan besluiten de aanval te escaleren of te voorkomen dat de dreiging doorgaat met programmeren.

Een andere factor die ervoor zou kunnen zorgen dat CacheFlow zichzelf afsluit, is als het slachtoffer wordt betrapt op het gebruik van de ontwikkelaarstools van de browser. Een aparte routine controleert of het slachtoffer wat dieper in de dreigingscampagne probeert te graven door een van de C & C-domeinen te googelen. Deze activiteit zou vervolgens aan de aanvallers worden gemeld.

Om al het communicatieverkeer tussen zichzelf en de C & C-infrastructuur te verbergen, gebruikt CacheFlow een vrij unieke techniek waarbij de Cache-Control HTTP-header van de analyseverzoeken wordt gebruikt om een verborgen kanaal tot stand te brengen.