CacheFlow
Una campaña amenazante que ha estado distribuyendo una carga útil de malware llamada CacheFlow ha estado activa desde al menos 2017. La operación ha logrado permanecer bajo el radar de los investigadores de infosec debido a las extensas técnicas de detección y evitación. principalmente. El alcance de la campaña implicó el lanzamiento de docenas de extensiones de navegador dañadas para Google Chrome y Microsoft Edge. Los datos recopilados sugieren que estas extensiones tienen un recuento total de descargas de más de tres millones. Según un análisis realizado por los investigadores, los países con los usuarios más afectados son Brasil, Ucrania y Francia.
Las primeras extensiones atribuidas a esta campaña de ataque se denominaron 'Video Downloader for FaceBook ™' y funcionaron en Chrome. La información al respecto fue publicada en una publicación de blog de Edvard Rejthar de CZ.NIC. Aparentemente, la extensión estaba ejecutando un código JavaScript ofuscado que realizaba tareas fuera de la funcionalidad esperada listada en los anuncios de la extensión. Posteriormente, se observó que decenas de otras extensiones hicieron lo mismo. Aunque la mayoría de ellas poseen cierto grado de funcionalidades legítimas, como permitir a los usuarios descargar videos de plataformas populares de redes sociales, el objetivo principal de este grupo de extensiones es entregar la carga útil de CacheFlow.
Cuando se implementa, CacheFlow podría realizar varias operaciones amenazantes en el sistema comprometido. Puede recopilar datos confidenciales del usuario, como fechas de nacimiento, direcciones de correo electrónico, geolocalización, consultas de búsqueda e información sobre las URL en las que se hizo clic. Sin embargo, la carga útil extrajo las fechas de nacimiento solo de la cuenta de Google del usuario, y los investigadores no encontraron intentos de hacer lo mismo con las cuentas de Microsoft. Además de la recopilación de datos, CacheFlow estableció dos rutinas separadas: una para secuestrar los clics, mientras que la otra es responsable de modificar los resultados de búsqueda. Cuando las víctimas hacen clic en cualquier enlace, la amenaza envía información al respecto a una dirección específica, orgun.johnoil.com, y espera una respuesta. Si los atacantes envían el comando requerido, CacheFlow puede redirigir al usuario a una URL completamente diferente. La segunda funcionalidad se activa cuando los usuarios realizan una búsqueda desde la página de Google, Yahoo o Bing. CacheFlow luego recopilará la consulta de búsqueda y los resultados producidos y enviará la información a sus servidores de Comando y Control (C2, C&C). Al recibir el comando apropiado, la amenaza podría alterar algunos de los resultados mostrados.
Nuevas técnicas de evasión y ofuscación mantuvieron CacheFlow fuera de la vista
Sin embargo, el aspecto más distintivo de la amenaza es su determinación de permanecer oculta. Los piratas informáticos han implementado en CacheFlow algunas técnicas raras o nunca antes vistas para la detección de evitación. La extensión comenzará a ejecutar su programación amenazante después de permanecer inactiva durante tres días en el sistema infectado. E incluso entonces, el ataque solo se intensificará si se pasan con éxito varias verificaciones. El objetivo de los piratas informáticos es evitar infectar a los usuarios expertos en tecnología, como los que trabajan como desarrolladores web. Para determinar si este es el caso, CacheFlow primero verifica las otras extensiones instaladas en el sistema y las compara con una lista codificada de ID de extensión. Cada extensión tiene asignada una puntuación específica, y si la suma total supera un valor predeterminado, la carga útil envía la información recopilada al servidor C&C para obtener más instrucciones. Los ciberdelincuentes pueden entonces decidir escalar el ataque o evitar que la amenaza continúe con su programación.
Otro factor que podría hacer que CacheFlow se apague es si la víctima es atrapada usando las herramientas de desarrollo del navegador. Una rutina separada verifica si la víctima intenta profundizar un poco más en la campaña amenazante buscando en Google uno de los dominios de C&C. Esta actividad luego se informaría a los atacantes.
Para ocultar todo el tráfico de comunicación entre él y la infraestructura de C&C, CacheFlow emplea una técnica bastante única que implica el uso del encabezado HTTP Cache-Control de las solicitudes de análisis para establecer un canal oculto.
