Actualités

CacheFlow : quand des extensions malveillantes sous Chrome et Edge permettaient de détourner les clics pour modifier les résultats de recherche !

Selon les enquêtes de l’équipe Avast, depuis Novembre 2020, certains extensions installées sous Chrome ou Edge permettaient d’exploiter les clics-utilisateurs : résultats-requête tronqués, injection de JavaScript, aspiration de données sensibles… autant de chemins détournés par une personne, à distance, qui permettait, en toute quiétude, d’avoir la main-mise sur quantité d’information de la victime ainsi ciblée, directement depuis le navigateur Web.

 

Active depuis, au moins, Octobre 2017, CacheFlow se camouflait pour passer sous les radars des anti-virus et autres détections classiques, comme celles relatives à l’installation d’une application malveillante : “les extensions ont retardé leur activité malveillante d’au moins trois jours après l’installation pour éviter de déclencher des signaux d’alarme au début. Lorsque le logiciel malveillant détectait que les outils de développement du navigateur étaient ouverts, il désactiverait immédiatement sa fonctionnalité malveillante. CacheFlow a également vérifié chaque requête de recherche Google et si l’utilisateur recherchait l’un des domaines de commande et de contrôle (C&C) du logiciel malveillant, il le signalait à son serveur C&C et pouvait également se désactiver“, est-il ainsi mentionné. Sous l’allure d’une porte dérobée – au détour d’une image via une extension pour Instagram, par exemple au sein du Web Store de Chrome – les extensions permettaient une injection de JavaScript.

 

Le nom de la vulnérabilité tient au fait que les auteurs tirent parti du localStorage où réside le cache-control (HTTP) pour communiquer ou faire transiter des informations, en toute discrétion, ce qui permet, au sein-même de la suite JSON, d’intégrer du code étranger dans l’extension légitime, sans que cela n’interfère avec le bon fonctionnement de cette dernière. Avast mentionne, à titre d’exemple, les requêtes émises-reçues Google Analytics via https: //stats.script-protection [.] Com / __ utm.gif : aucun moyen de savoir s’il s’agit d’une requête légitime ou frauduleuse (instillation de code officieux) puisque la soumission ou l’évaluation de ladite requête reste identique. De là, plusieurs étapes ou niveaux se mettent en place : de l’injection du code JavaScript (avec exécution pour chaque actualisation d’onglet…) à la vérification ou l’évaluation des connaissances de la victimes dans ce domaine, via une “liste codée en dur des IDs d’extension” et un système de scoring, ce qui permettait, pour le dernier point, de ne pas envoyer la charge virale à des personnes potentiellement initiées à l’informatique ou qui étaient sur un terminal indiquant une information (sans pour autant garantir qu’il s’agissait de la personne-propriétaire). URLs, dates de naissance et bon nombre d’informations ont pu être aspirés. Concernant la modification de résultats, les requêtes injectées comprenait “une somme de contrôles MD5 salés”, ce qui renvoyait à un résultat XHR tronqué ; lui-même tronqué par l’intégration de visuels ou logos qui, selon, Avast, semble trop factice pour duper l’utilisateur. Une liste complète des données et sites compromis(es) est disponible sur le billet ou dans une page dédiée, sur Github.

 

Brésil, Ukraine et France sont les trois pays les plus touchés, principalement, même si les États-Unis, l’Espagne, les Amériques du Sud et la Russie semblent, également, largement concernés… A veiller !

 

 

Source : Avast – 3 Février 2021 – CacheFlow : portes dérobées sous la forme d’extensions Web au sein de Chrome et Edge.




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-1: :+1: :) :( 8-O 8)

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2021 - v1.11.0