CacheFlow
Une campagne menaçante qui distribue une charge utile de malware nommée CacheFlow est active depuis au moins 2017. L'opération a réussi à rester sous le radar des chercheurs de l'infosec grâce à de nombreuses techniques de détection-évitement la plupart. La portée de la campagne impliquait la publication de dizaines d'extensions de navigateur corrompues pour Google Chrome et Microsoft Edge. Les données recueillies suggèrent que ces extensions ont un nombre total de téléchargements de plus de trois millions. Selon une analyse réalisée par les chercheurs, les pays dont les utilisateurs sont les plus touchés sont le Brésil, l'Ukraine et la France.
Les premières extensions attribuées à cette campagne d'attaque s'appelaient "Video Downloader for FaceBook ™" et fonctionnaient sur Chrome. Des informations à ce sujet ont été publiées dans un article de blog d'Edvard Rejthar de CZ.NIC. Apparemment, l'extension exécutait un code JavaScript obscurci qui exécutait des tâches bien en dehors des fonctionnalités attendues répertoriées dans les publicités de l'extension. Par la suite, des dizaines d'autres extensions ont fait de même. Bien que la plupart d'entre eux possèdent un certain degré de fonctionnalités légitimes, telles que permettre aux utilisateurs de télécharger des vidéos à partir de plates-formes de médias sociaux populaires, l'objectif principal de ce groupe d'extensions est de fournir la charge utile CacheFlow.
Une fois déployé, CacheFlow pouvait effectuer plusieurs opérations menaçantes sur le système compromis. Il peut collecter des données utilisateur sensibles telles que les dates de naissance, les adresses e-mail, la géolocalisation, les requêtes de recherche et les informations sur les URL cliquées. Cependant, la charge utile extrait les dates de naissance uniquement du compte Google de l'utilisateur, les chercheurs n'ayant trouvé aucune tentative de faire de même pour les comptes Microsoft. En plus de la collecte de données, CacheFlow a établi deux routines distinctes - l'une pour détourner les clics tandis que l'autre est responsable de la modification des résultats de recherche. Lorsque les victimes cliquent sur un lien, la menace envoie des informations à ce sujet à une adresse spécifique - orgun.johnoil.com et attend une réponse. Si les attaquants envoient la commande requise, CacheFlow peut alors rediriger l'utilisateur vers une URL complètement différente. La deuxième fonctionnalité est déclenchée lorsque les utilisateurs effectuent une recherche à partir de la page de Google, Yahoo ou Bing. CacheFlow collectera ensuite la requête de recherche et les résultats produits et enverra les informations à ses serveurs de commande et de contrôle (C2, C&C). En recevant la commande appropriée, la menace pourrait alors modifier certains des résultats affichés.
De nouvelles techniques d'évasion et d'obfuscation ont gardé CacheFlow hors de vue
L'aspect le plus distinctif de la menace, cependant, est sa détermination à rester cachée. Les pirates ont implémenté dans CacheFlow des techniques rarement ou jamais vues auparavant pour la détection d'évitement. L'extension commencera à exécuter sa programmation menaçante après avoir dormi pendant trois jours sur le système infecté. Et même dans ce cas, cela ne fera qu'escalader l'attaque si plusieurs vérifications sont réussies. L'objectif des pirates est d'éviter d'infecter les utilisateurs avertis en technologie, tels que ceux qui travaillent en tant que développeurs Web. Pour déterminer si tel est le cas, CacheFlow vérifie d'abord les autres extensions installées sur le système et les compare à une liste codée en dur d'ID d'extension. Chaque extension a un score spécifique qui lui est attribué, et si la somme totale dépasse une valeur prédéterminée, la charge utile envoie les informations collectées au serveur C&C pour des instructions supplémentaires. Les cybercriminels peuvent alors décider d'intensifier l'attaque ou d'empêcher la menace de poursuivre sa programmation.
Un autre facteur qui pourrait provoquer l'arrêt de CacheFlow est si la victime est interceptée à l'aide des outils de développement du navigateur. Une routine distincte vérifie si la victime tente de creuser un peu plus dans la campagne menaçante en recherchant sur Google l'un des domaines C&C. Cette activité serait alors signalée aux assaillants.
Pour masquer tout le trafic de communication entre lui-même et l'infrastructure C&C, CacheFlow utilise une technique assez unique qui consiste à utiliser l'en-tête HTTP Cache-Control des demandes d'analyse pour établir un canal caché.
