Malware verstopt datadiefstal in Google Analytics-verkeer

Het gaat om 28 kwaadaardige extensies voor de webbrowsers Chrome en Edge. Laatstgenoemde is door Microsoft in de huidige incarnatie gebaseerd op de opensourcebasis Chromium, die ook dienst doet voor Googles Chrome-browser. De malware add-ons die de nieuwe, sluwe communicatiemanier gebruiken via vermomming als Analytics-verkeer, zijn in december tegen de lamp gelopen. Aanleiding was vermomde JavaScript-code in de extensie 'Video Downloader for FaceBook™'. De ontdekkers hebben nu een analyse van deze malware gepubliceerd.

Browsercontrole

Onderzoekers van securityleverancier Avast zetten in een blogpost uiteen hoe deze browsermalware te werk gaat. De verschillende kwaadaardige extensies waren via de officiële 'appstores' van Google en Microsoft te verkrijgen, maar bleken ondanks die vertrouwde herkomst niet te vertrouwen. Avast schaart de add-ons onder de verzamelnaam CacheFlow en meldt dat het in totaal om 3 miljoen geïnstalleerde gevallen gaat. Deze campagne liep al sinds zeker oktober 2017.

Browseraanbieders Google en Microsoft zijn vorige maand door de Avast-onderzoekers geïnformeerd en vóór de kerst waren de malafide extensies al verwijderd uit de respectievelijke browser-stores van de twee techreuzen. Daarmee zijn reeds geïnstalleerde extensies echter niet automatisch verwijderd bij gebruikers.

Tweeledig doel

CacheFlow is opvallend vanwege de nieuwe manier waarop de extensies hun dataverkeer weten te verbergen, aldus Avast. De malware communiceert via een verborgen kanaal in de Cache-Control HTTP-header voor analytics-dataverzoeken. Dit schijnbaar legitieme verkeer is niet alleen benut voor de aansturing (command&control) van de malware, maar ook voor het daadwerkelijk verkrijgen van analytics-informatie door de malwaremakers.

"De extensies vertoonden een hoog niveau van 'sneakiness' door diverse trucs te benutten om de kansen voor detectie te verkleinen", schrijven de onderzoekers van Avast. Zo vermeed de malware gebruikers die waarschijnlijk webdevelopers zijn, door zichzelf níet te installeren als er bepaalde andere extensies al aanwezig waren op een computer en als daar lokaal draaiende websites met toegang voor de gebruiker waren. Verder werd de malwarefunctionaliteit automatisch gedeactiveerd als een gebruiker browserdevelopmenttools opende.