文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

一起利用浏览器扩展劫持搜索结果的攻击活动

2024-12-03 11:12

关注

Avast 研究人员发现一起利用浏览器扩展劫持搜索结果的攻击活动——CacheFlow。其中有28个恶意Chrome和Egde浏览器扩展使用Cache-Control HTTP header作为隐蔽信道来从攻击者控制的服务器中提取命令,涉及的浏览器扩展包括Video Downloader for Facebook、Vimeo Video Downloader、instagram Story Downloader、VK Unblock。

Avast分析发现下载和安装CacheFlow 扩展用户最多的3个国家是巴西、乌克兰和法国,然后是阿根廷、西班牙、俄罗斯和美国。


CacheFlow 攻击流如下所示:

CacheFlow攻击从可以用户在浏览器中下载恶意扩展开始。恶意扩展安装后,会向远程服务器发送类似Google Analytics 的分析请求,然后返回一个含有隐藏命令的精心伪造的Cache-Control header,其中隐藏命令的作用是提取第二阶段payload,第二阶段payload是最终的JS payload的下载器。

JS 恶意软件会收集出生日期、邮件地址、地理位置、设备活动等。为了获取生日信息,CacheFlow会分析一个到https://myaccount.google.com/birthday 的XHR 请求,并从响应消息中分析出生日期。

最后,payload会注入另一端JS 代码到每个tab中,使用它来劫持到合法网站的点击,修改Google、Bing、雅虎等的搜索结果,将受害者重路由到不同的URL。

恶意扩展有个非常有意思的地方,就是会避免感染web开发者这样的用户。恶意扩展会计算用户安装的扩展权重分或检查是否有本地搭建的网站,比如.dev、.local,、.localhost,而且在扩展安装后的前3天不会有任何可疑的恶意行为。

从Chrome Web Store的用户评论来看,CacheFlow从2017年10月就开始活跃了。一般来说,用户会比较信任官方浏览器商店安装的扩展,认为其是安全的,但是近年来的研究发现,来自官方商店的应用和扩展都不一定是安全的。

CacheFlow攻击使用了分析请求中的Cache-Control HTTP header作为隐蔽信道来隐藏其命令和控制流量,研究人员认为这是一种新的技术。

CacheFlow隐藏C2命令流程

所有CacheFlow攻击活动相关的恶意浏览器扩展已于2020年12月18日被谷歌、微软下架,以预防用户继续下载,已经下载的用户可以移除相关扩展来预防恶意攻击活动。

完整技术分析参见:https://decoded.avast.io/janvojtesek/backdoored-browser-extensions-hid-malicious-traffic-in-analytics-requests/

本文翻译自:https://thehackernews.com/2021/02/over-dozen-chrome-extensions-caught.html

 

来源:嘶吼网内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯