Cyberthreat.id – Peneliti telah menemukan ekstensi jahat pada browser Chrome dan Edge yang dapat membajak klik ke link di halaman hasil penelusuran ke URL sembarang, termasuk situs phishing dan iklan. Demikian laporan laman The Hacker News, Rabu (3 Februari 2021).

Avast menyebutnya CacheFlow, ekstensi (penanda yang menunjukkan isi suatu file) yang dimaksud - termasuk Video Downloader untuk Facebook, Vimeo Video Downloader, Instagram Story Downloader, VK Unblock - memanfaatkan trik licik untuk menutupi tujuan sebenarnya: Leverage Cache-Control HTTP header sebagai saluran rahasia untuk mengambil perintah dari server yang dikendalikan penyerang.

The Hacker News menyebutkan Google dan Microsoft telah menghapus semua add-on browser dengan backdoor, pada 18 Desember 2020, untuk mencegah lebih banyak pengguna mengunduhnya dari official stores.

Urutan CacheFlow dimulai saat pengguna --yang tidak curiga-- mendownload salah satu ekstensi di browser mereka yang, setelah penginstalan, mengirimkan permintaan analitik (menyerupai Google Analytics) ke server jarak jauh, yang kemudian mengirimkan kembali header Cache-Control yang dibuat secara khusus berisi perintah tersembunyi untuk mengambil payload tahap kedua yang berfungsi sebagai pengunduh untuk payload JavaScript akhir.

Malware JavaScript ini mengumpulkan tanggal lahir, alamat email, geolokasi, dan aktivitas perangkat, dengan fokus khusus pada pengumpulan data dari Google.

"Untuk mendapatkan ulang tahun, CacheFlow membuat permintaan XHR ke https://myaccount.google.com/birthday dan mengurai tanggal lahir dari tanggapan," peneliti Avast Jan Vojtěšek dan Jan Rubín mengamati.

Pada langkah terakhir, payload menyuntikkan bagian lain dari JavaScript ke setiap tab, menggunakannya untuk membajak klik yang mengarah ke situs web yang sah, serta memodifikasi hasil pencarian dari Google, Bing, atau Yahoo untuk mengubah rute korban ke URL yang berbeda.

Bukan itu saja. Ekstensi tidak hanya menghindari menginfeksi pengguna yang kemungkinan besar adalah pengembang web - sesuatu yang disimpulkan dengan menghitung skor tertimbang dari ekstensi yang dipasang atau dengan memeriksa apakah mereka mengakses situs web yang dihosting secara lokal (misalnya pada ekstensi: .dev, .local, atau .localhost ) - mereka juga dikonfigurasikan untuk tidak menunjukkan perilaku yang mencurigakan selama tiga hari pertama setelah pemasangan.

Avast mengatakan pembuat malware menggunakan berbagai trik untuk menghindari deteksi. Ini menjadi faktor penting yang memungkinkannya mengeksekusi kode berbahaya di latar belakang dan secara diam-diam menginfeksi jutaan korban, dengan bukti yang menunjukkan bahwa kampanye tersebut mungkin telah aktif setidaknya sejak Oktober 2017.

"CacheFlow terkenal khususnya karena cara ekstensi berbahaya mencoba menyembunyikan perintahnya dan mengontrol lalu lintas di saluran rahasia menggunakan header HTTP Kontrol-Cache dari permintaan analitik mereka. Kami yakin ini adalah teknik baru."

Daftar lengkap indikator kompromi (IoCs) yang terkait dengan kampanye dapat diakses di sini.[]