Avast研究人員發現大量惡意Chrome和Egde瀏覽器擴展被用來劫持搜索結果頁面中的鏈接到任意URL，其中包括釣魚網站和廣告。

Avast 研究人員發現一起利用瀏覽器擴展劫持搜索結果的攻擊活動——CacheFlow。其中有28個惡意Chrome和Egde瀏覽器擴展使用Cache-Control HTTP header作為隱蔽信道來從攻擊者控制的服務器中提取命令，涉及的瀏覽器擴展包括Video Downloader for Facebook、Vimeo Video Downloader、instagram Story Downloader、VK Unblock。

Avast分析發現下載和安裝CacheFlow 擴展用戶最多的3個國家是巴西、烏克蘭和法國，然后是阿根廷、西班牙、俄羅斯和美國。

CacheFlow 攻擊流如下所示：

??

CacheFlow攻擊從可以用戶在瀏覽器中下載惡意擴展開始。惡意擴展安裝后，會向遠程服務器發送類似Google Analytics 的分析請求，然后返回一個含有隱藏命令的精心偽造的Cache-Control header，其中隱藏命令的作用是提取第二階段payload，第二階段payload是最終的JS payload的下載器。

??

JS 惡意軟件會收集出生日期、郵件地址、地理位置、設備活動等。為了獲取生日信息，CacheFlow會分析一個到https://myaccount.google.com/birthday 的XHR 請求，并從響應消息中分析出生日期。

最后，payload會注入另一端JS 代碼到每個tab中，使用它來劫持到合法網站的點擊，修改Google、Bing、雅虎等的搜索結果，將受害者重路由到不同的URL。

惡意擴展有個非常有意思的地方，就是會避免感染web開發者這樣的用戶。惡意擴展會計算用戶安裝的擴展權重分或檢查是否有本地搭建的網站，比如.dev、.local,、.localhost，而且在擴展安裝后的前3天不會有任何可疑的惡意行為。

??

從Chrome Web Store的用戶評論來看，CacheFlow從2017年10月就開始活躍了。一般來說，用戶會比較信任官方瀏覽器商店安裝的擴展，認為其是安全的，但是近年來的研究發現，來自官方商店的應用和擴展都不一定是安全的。

??

CacheFlow攻擊使用了分析請求中的Cache-Control HTTP header作為隱蔽信道來隱藏其命令和控制流量，研究人員認為這是一種新的技術。

??

CacheFlow隱藏C2命令流程

所有CacheFlow攻擊活動相關的惡意瀏覽器擴展已于2020年12月18日被谷歌、微軟下架，以預防用戶繼續下載，已經下載的用戶可以移除相關擴展來預防惡意攻擊活動。

完整技術分析參見：https://decoded.avast.io/janvojtesek/backdoored-browser-extensions-hid-malicious-traffic-in-analytics-requests/

本文翻譯自：https://thehackernews.com/2021/02/over-dozen-chrome-extensions-caught.html