Avast研究人員發(fā)現(xiàn)大量惡意Chrome和Egde瀏覽器擴展被用來劫持搜索結(jié)果頁面中的鏈接到任意URL，其中包括釣魚網(wǎng)站和廣告。

Avast 研究人員發(fā)現(xiàn)一起利用瀏覽器擴展劫持搜索結(jié)果的攻擊活動——CacheFlow。其中有28個惡意Chrome和Egde瀏覽器擴展使用Cache-Control HTTP header作為隱蔽信道來從攻擊者控制的服務器中提取命令，涉及的瀏覽器擴展包括Video Downloader for Facebook、Vimeo Video Downloader、instagram Story Downloader、VK Unblock。

Avast分析發(fā)現(xiàn)下載和安裝CacheFlow 擴展用戶最多的3個國家是巴西、烏克蘭和法國，然后是阿根廷、西班牙、俄羅斯和美國。

CacheFlow 攻擊流如下所示：

??

CacheFlow攻擊從可以用戶在瀏覽器中下載惡意擴展開始。惡意擴展安裝后，會向遠程服務器發(fā)送類似Google Analytics 的分析請求，然后返回一個含有隱藏命令的精心偽造的Cache-Control header，其中隱藏命令的作用是提取第二階段payload，第二階段payload是最終的JS payload的下載器。

??

JS 惡意軟件會收集出生日期、郵件地址、地理位置、設備活動等。為了獲取生日信息，CacheFlow會分析一個到https://myaccount.google.com/birthday 的XHR 請求，并從響應消息中分析出生日期。

最后，payload會注入另一端JS 代碼到每個tab中，使用它來劫持到合法網(wǎng)站的點擊，修改Google、Bing、雅虎等的搜索結(jié)果，將受害者重路由到不同的URL。

惡意擴展有個非常有意思的地方，就是會避免感染web開發(fā)者這樣的用戶。惡意擴展會計算用戶安裝的擴展權(quán)重分或檢查是否有本地搭建的網(wǎng)站，比如.dev、.local,、.localhost，而且在擴展安裝后的前3天不會有任何可疑的惡意行為。

??

從Chrome Web Store的用戶評論來看，CacheFlow從2017年10月就開始活躍了。一般來說，用戶會比較信任官方瀏覽器商店安裝的擴展，認為其是安全的，但是近年來的研究發(fā)現(xiàn)，來自官方商店的應用和擴展都不一定是安全的。

??

CacheFlow攻擊使用了分析請求中的Cache-Control HTTP header作為隱蔽信道來隱藏其命令和控制流量，研究人員認為這是一種新的技術(shù)。

??

CacheFlow隱藏C2命令流程

所有CacheFlow攻擊活動相關(guān)的惡意瀏覽器擴展已于2020年12月18日被谷歌、微軟下架，以預防用戶繼續(xù)下載，已經(jīng)下載的用戶可以移除相關(guān)擴展來預防惡意攻擊活動。

完整技術(shù)分析參見：https://decoded.avast.io/janvojtesek/backdoored-browser-extensions-hid-malicious-traffic-in-analytics-requests/

本文翻譯自：https://thehackernews.com/2021/02/over-dozen-chrome-extensions-caught.html