Una popolare utility arriva finalmente su Apple M1
8 Febbraio 2021
Allianz Risk Barometer 2020 : per la prima volta la minaccia informatica è il principale rischio percepito dalle aziende a livello mondiale
8 Febbraio 2021

MEGLIO FARE UN CONTROLLO DELLE ESTENSIONI INSTALLATE SU CHROME ED EDGE : POTRESTE ESSERE VITTIME DI CACHEFLOW

MEGLIO FARE UN CONTROLLO DELLE ESTENSIONI INSTALLATE SU CHROME ED EDGE : POTRESTE ESSERE VITTIME DI CACHEFLOW
MEGLIO FARE UN CONTROLLO DELLE ESTENSIONI INSTALLATE SU CHROME ED EDGE : POTRESTE ESSERE VITTIME DI CACHEFLOW

È probabile che tu stia leggendo questo post del blog utilizzando il tuo browser web. È anche probabile che il tuo browser web abbia varie estensioni che forniscono funzionalità aggiuntive. Di solito crediamo che le estensioni installate dagli store ufficiali dei browser siano sicure. Ma non è sempre così, come abbiamo scoperto di recente.

 

Sono emersi nuovi dettagli su una vasta rete di estensioni canaglia per i browser Chrome ed Edge che si è scoperto che dirottano i clic ai collegamenti nelle pagine dei risultati di ricerca a URL arbitrari, inclusi siti di phishing e annunci.

Chiamate collettivamente ” CacheFlow ” da Avast, le 28 estensioni in questione – tra cui Video Downloader per Facebook, Vimeo Video Downloader, Instagram Story Downloader, VK Unblock – hanno utilizzato un subdolo trucco per mascherare il suo vero scopo: sfruttare l’ intestazione HTTP Cache-Control un canale nascosto per recuperare i comandi da un server controllato da un utente malintenzionato.

Tutti i componenti aggiuntivi del browser con backdoor sono stati rimossi da Google e Microsoft a partire dal 18 dicembre 2020, per impedire a più utenti di scaricarli dagli store ufficiali. Ma è meglio controllare le proprie estensioni [ click qui ]

Secondo i dati di telemetria raccolti dall’azienda, i primi tre paesi infetti sono stati Brasile, Ucraina e Francia, seguiti da Argentina, Spagna, Russia e Stati Uniti.

La sequenza CacheFlow è iniziata quando gli utenti ignari hanno scaricato una delle estensioni nei loro browser che, al momento dell’installazione, hanno inviato richieste di analisi simili a Google Analytics a un server remoto, che ha quindi trasmesso un’intestazione Cache-Control appositamente predisposta contenente comandi nascosti per recuperare payload di seconda fase che ha funzionato come downloader per il payload JavaScript finale.

CacheFlow si è distinto in particolare per il modo in cui le estensioni dannose tentavano di nascondere il loro comando e controllare il traffico in un canale nascosto utilizzando l’ Cache-Controlintestazione HTTP delle loro richieste di analisi. Crediamo che questa sia una nuova tecnica. Inoltre, ci sembra che il traffico in stile Google Analytics sia stato aggiunto non solo per nascondere i comandi dannosi, ma che gli autori dell’estensione fossero interessati anche alle richieste di analisi stesse. Riteniamo che abbiano cercato di risolvere due problemi, comando e controllo e acquisizione di informazioni di analisi, con un’unica soluzione.

Questo malware JavaScript ha accumulato date di nascita, indirizzi email, geolocalizzazione e attività del dispositivo, con un focus specifico sulla raccolta dei dati da Google.

“Per recuperare il compleanno, CacheFlow ha effettuato una richiesta XHR a https://myaccount.google.com/birthday e ha analizzato la data di nascita dalla risposta”, hanno osservato i ricercatori Avast Jan Vojtěšek e Jan Rubín.

Nella fase finale, il payload ha iniettato un altro pezzo di JavaScript in ciascuna scheda, utilizzandolo per dirottare i clic che portavano a siti Web legittimi, nonché modificare i risultati di ricerca da Google, Bing o Yahoo per reindirizzare la vittima a un URL diverso.

Non è tutto. Le estensioni non solo evitavano di infettare gli utenti che probabilmente erano sviluppatori web, cosa che veniva dedotta calcolando un punteggio ponderato delle estensioni installate o controllando se accedevano a siti web ospitati localmente (ad esempio, .dev, .local o .localhost ) – sono stati inoltre configurati per non mostrare alcun comportamento sospetto durante i primi tre giorni dopo l’installazione. Avast ha affermato che la miriade di trucchi impiegati dagli autori del malware per sfuggire al rilevamento potrebbe essere stato un fattore cruciale che gli ha permesso di eseguire codice dannoso in background e infettare furtivamente milioni di vittime, con prove che suggeriscono che la campagna potrebbe essere stata attiva almeno da ottobre 2017.

“Di solito crediamo che le estensioni installate dagli store ufficiali dei browser siano sicure”, hanno detto i ricercatori. “Ma non è sempre così, come abbiamo scoperto di recente.”

“CacheFlow si è distinto in particolare per il modo in cui le estensioni dannose cercavano di nascondere il loro comando e controllare il traffico in un canale nascosto utilizzando l’intestazione HTTP Cache-Control delle loro richieste di analisi. Crediamo che questa sia una nuova tecnica”.

Fonte : https://thehackernews.com/2021/02/over-dozen-chrome-extensions-caught.html

L’articolo MEGLIO FARE UN CONTROLLO DELLE ESTENSIONI INSTALLATE SU CHROME ED EDGE : POTRESTE ESSERE VITTIME DI CACHEFLOW proviene da .