Una recente pubblicazione degli specialisti di Avast Threat Labs descrive in dettaglio la scoperta di una variante del malware che ruba dati che è rimasta nascosta per anni nel codice di più estensioni del browser web. Gli esperti affermano che questo malware, denominato CacheFlow, è passato inosservato dalla comunità della sicurezza informatica per almeno tre anni.
Gli esperti hanno scoperto che il malware era nascosto in popolari estensioni di terze parti, che contenevano una backdoor per il download e l’esecuzione arbitraria di JavaScript. Lo scopo degli operatori di CacheFlow era di rubare dettagli sensibili, comprese date di nascita, indirizzi e-mail, attività dell’account Google e persino dettagli sulla posizione per inviarli a server dannosi.
Le estensioni dannose potrebbero anche sostituire i collegamenti di Google e di altri motori di ricerca con quelli dannosi per reindirizzare gli utenti a siti Web di phishing e annunci altamente intrusivi: “Gli utenti hanno attraversato questi siti Web compromessi prima di raggiungere il sito Web legittimo che volevano visitare”, afferma il ricercatore Jan Vojtesek. Gli operatori hanno distribuito l’infezione utilizzando dozzine di estensioni per Chrome ed Edge, accumulando un totale di 3 milioni di download. Le estensioni infette popolari includono Instagram Story Downloader, Video Downloader per Facebook e Vimeo Video Downloader.
Dai casi analizzati, i ricercatori hanno concluso che il malware è rimasto inattivo nell’estensione fino a tre giorni dopo l’installazione. Inoltre, una volta rispettata tale scadenza, CacheFlow ha analizzato l’attività del sistema cercando di valutare se la vittima fosse in grado di rilevare attività sospette: “Ad esempio, se il malware rilevava che gli strumenti di sviluppo nel browser erano attivati, interrompeva immediatamente i suoi processi dannosi”, affermano gli esperti.
Un altro segno distintivo di CacheFlow è il modo in cui le estensioni infette hanno cercato di nascondere il proprio traffico C&C attraverso un canale sotto copertura utilizzando l’intestazione HTTP Cache-Control delle loro richieste di scansione.
Questa campagna dannosa è stata rilevata dopo che gli esperti Avast hanno ricevuto un rapporto dall’esperto di sicurezza della Repubblica Ceca Edvard Rejthar: “Durante un’analisi approfondita di queste estensioni abbiamo rilevato una chiara tendenza”, hanno aggiunto gli esperti. D’altra parte, alcuni rapporti sulla sicurezza di Google Play hanno menzionato comportamenti anomali in questo tipo di strumento dal 2017.
Sia Google che Microsoft hanno rimosso le estensioni infette dalle loro piattaforme dopo aver ricevuto il rapporto nel dicembre 2020. Ora che il malware è noto, gli specialisti ritengono che gli autori delle minacce difficilmente lo utilizzeranno negli attacchi successivi; tuttavia, gli esperti di Avast sottolineano che questa è una chiara indicazione del fatto che anche gli strumenti più diffusi possono essere utilizzati in modo improprio da gruppi di criminali informatici.