CacheFlow

Eine bedrohliche Kampagne, die eine Malware-Nutzlast namens CacheFlow verbreitet, ist seit mindestens 2017 aktiv. Die Operation hat es aufgrund umfangreicher Techniken zur Vermeidung von Erkennung geschafft, unter dem Radar von Infosec-Forschern zu bleiben. Der Umfang der Kampagne umfasste die Veröffentlichung von Dutzenden beschädigter Browsererweiterungen für Google Chrome und Microsoft Edge. Die gesammelten Daten deuten darauf hin, dass diese Erweiterungen eine Download-Gesamtzahl von über drei Millionen haben. Nach einer Analyse der Forscher sind Brasilien, die Ukraine und Frankreich die Länder mit den am stärksten betroffenen Nutzern.

Die ersten Erweiterungen, die dieser Angriffskampagne zugeschrieben wurden, hießen "Video Downloader for FaceBook ™" und funktionierten in Chrome. Informationen dazu wurden in einem Blogbeitrag von Edvard Rejthar von CZ.NIC veröffentlicht. Anscheinend führte die Erweiterung einen verschleierten JavaScript-Code aus, der Aufgaben weit außerhalb der erwarteten Funktionalität ausführte, die in den Anzeigen der Erweiterung aufgeführt ist. Anschließend wurde beobachtet, dass Dutzende anderer Erweiterungen dasselbe taten. Obwohl die meisten von ihnen über ein gewisses Maß an legitimen Funktionen verfügen, z. B. das Herunterladen von Videos von beliebten Social Media-Plattformen, besteht das Hauptziel dieser Gruppe von Erweiterungen darin, die CacheFlow-Nutzdaten bereitzustellen.

Bei der Bereitstellung kann CacheFlow mehrere Bedrohungsvorgänge auf dem gefährdeten System ausführen. Es kann vertrauliche Benutzerdaten wie Geburtsdaten, E-Mail-Adressen, Geolokalisierung, Suchanfragen und Informationen zu angeklickten URLs erfassen. Die Nutzdaten extrahierten jedoch Geburtsdaten nur aus dem Google-Konto des Benutzers, wobei Forscher keine Versuche fanden, dies auch für Microsoft-Konten zu tun. Zusätzlich zur Datenerfassung hat CacheFlow zwei separate Routinen eingerichtet - eine zum Entführen von Klicks, während die andere für das Ändern der Suchergebnisse verantwortlich ist. Wenn Opfer auf einen Link klicken, sendet die Bedrohung Informationen darüber an eine bestimmte Adresse - orgun.johnoil.com - und wartet auf eine Antwort. Wenn die Angreifer den erforderlichen Befehl senden, kann CacheFlow den Benutzer insgesamt zu einer anderen URL umleiten. Die zweite Funktion wird ausgelöst, wenn Benutzer eine Suche auf der Seite von Google, Yahoo oder Bing durchführen. CacheFlow sammelt dann die Suchabfrage und die erzeugten Ergebnisse und sendet die Informationen an seine Command-and-Control-Server (C2, C & C). Durch den Empfang des entsprechenden Befehls kann die Bedrohung dann einige der angezeigten Ergebnisse ändern.

Neuartige Ausweich- und Verschleierungstechniken hielten CacheFlow außer Sicht

Der auffälligste Aspekt der Bedrohung ist jedoch ihre Entschlossenheit, verborgen zu bleiben. Die Hacker haben einige selten oder nie zuvor gesehene Techniken zur Vermeidungserkennung in CacheFlow implementiert. Die Erweiterung beginnt mit der Ausführung ihrer Bedrohungsprogrammierung, nachdem sie drei Tage lang auf dem infizierten System ruhte. Und selbst dann eskaliert es den Angriff nur, wenn mehrere Prüfungen erfolgreich bestanden wurden. Das Ziel der Hacker ist es, zu vermeiden, dass technisch versierte Benutzer wie Webentwickler infiziert werden. Um festzustellen, ob dies der Fall ist, überprüft CacheFlow zunächst die anderen auf dem System installierten Erweiterungen und vergleicht sie mit einer fest codierten Liste von Erweiterungs-IDs. Jeder Erweiterung ist eine bestimmte Punktzahl zugewiesen. Wenn die Gesamtsumme einen vorgegebenen Wert überschreitet, sendet die Nutzlast die gesammelten Informationen zur weiteren Anweisung an den C & C-Server. Die Cyberkriminellen können dann entscheiden, den Angriff zu eskalieren oder die Bedrohung daran zu hindern, ihre Programmierung fortzusetzen.

Ein weiterer Faktor, der dazu führen kann, dass CacheFlow sich selbst herunterfährt, ist, wenn das Opfer mit den Browser-Entwicklertools erwischt wird. Eine separate Routine prüft, ob das Opfer versucht, etwas tiefer in die Bedrohungskampagne einzudringen, indem es eine der C & C-Domänen googelt. Diese Aktivität würde dann den Angreifern gemeldet.

Um den gesamten Kommunikationsverkehr zwischen sich und der C & C-Infrastruktur zu verbergen, verwendet CacheFlow eine ziemlich einzigartige Technik, bei der der Cache-Control-HTTP-Header der Analyseanforderungen verwendet wird, um einen versteckten Kanal einzurichten.