CacheFlow

Uma campanha ameaçadora que tem distribuído uma carga útil de malware chamada CacheFlow está ativa desde pelo menos 2017. A operação conseguiu permanecer sob o radar dos pesquisadores da infosec devido a extensas técnicas de detecção e prevenção na maioria das vezes. O escopo da campanha envolveu o lançamento de dezenas de extensões de navegador corrompidas para Google Chrome e Microsoft Edge. Os dados coletados sugerem que essas extensões têm uma contagem total de download de mais de três milhões. Segundo análise realizada pelos pesquisadores, os países com os usuários mais afetados são Brasil, Ucrânia e França.

As primeiras extensões atribuídas a esta campanha de ataque foram chamadas de 'Video Downloader for FaceBook ™' e funcionavam no Chrome. Informações sobre isso foram divulgadas em uma postagem no blog de Edvard Rejthar do CZ.NIC. Aparentemente, a extensão estava executando um código JavaScript ofuscado que executava tarefas fora da funcionalidade esperada listada nos anúncios da extensão. Posteriormente, dezenas de outras extensões fizeram o mesmo. Embora a maioria deles possua um certo grau de funcionalidades legítimas, como permitir que os usuários baixem vídeos de plataformas populares de mídia social, o objetivo principal desse grupo de extensões é fornecer a carga útil do CacheFlow.

Quando implantado, o CacheFlow pode executar várias operações ameaçadoras no sistema comprometido. Ele pode coletar dados confidenciais do usuário, como datas de nascimento, endereços de e-mail, geolocalização, consultas de pesquisa e informações sobre URLs clicados. No entanto, a carga extraiu datas de nascimento apenas da conta do usuário do Google, com os pesquisadores não encontrando tentativas de fazer o mesmo para contas da Microsoft. Além da coleta de dados, CacheFlow estabeleceu duas rotinas separadas - uma para cliques de sequestro, enquanto a outra é responsável por modificar os resultados da pesquisa. Quando as vítimas clicam em qualquer link, a ameaça envia informações sobre ele para um endereço específico - orgun.johnoil.com e aguarda uma resposta. Se os invasores enviarem o comando necessário, o CacheFlow pode redirecionar o usuário para um URL diferente. A segunda funcionalidade é acionada quando os usuários realizam uma pesquisa na página do Google, Yahoo ou Bing. O CacheFlow então coletará a consulta de pesquisa e os resultados produzidos e enviará as informações para seus servidores de Comando e Controle (C2, C&C). Ao receber o comando apropriado, a ameaça pode então alterar alguns dos resultados exibidos.

Novas Técnicas de Evasão e Ofuscação Mantiveram o CacheFlow Fora de Vista

O aspecto mais característico da ameaça, entretanto, é sua determinação em permanecer oculto. Os hackers implementaram no CacheFlow algumas técnicas raramente ou nunca antes vistas para detecção de prevenção. A extensão começará a executar sua programação ameaçadora depois de permanecer inativa por três dias no sistema infectado. E mesmo assim, ele aumentará o ataque apenas se várias verificações forem aprovadas com sucesso. O objetivo dos hackers é evitar infectar usuários experientes em tecnologia, como os que trabalham como desenvolvedores da web. Para determinar se este é o caso, CacheFlow primeiro verifica as outras extensões instaladas no sistema e as compara com uma lista codificada de IDs de extensão. Cada extensão tem uma pontuação específica atribuída a ela e, se a soma total ultrapassar um valor predeterminado, a carga útil envia as informações coletadas ao servidor C&C para instruções adicionais. Os cibercriminosos podem então decidir escalar o ataque ou impedir que a ameaça continue com sua programação.

Outro fator que pode fazer com que o CacheFlow se desligue é se a vítima for pega usando as ferramentas de desenvolvedor do navegador. Uma rotina separada verifica se a vítima tenta se aprofundar um pouco mais na campanha ameaçadora, pesquisando um dos domínios C&C no Google. Essa atividade seria então relatada aos invasores.

Para ocultar todo o tráfego de comunicação entre ele e a infraestrutura C&C, o CacheFlow emprega uma técnica bastante exclusiva que envolve o uso do cabeçalho Cache-Control HTTP das solicitações analíticas para estabelecer um canal oculto.