Ciberdelincuentes secuestran resultados de búsqueda de Google a través de extensiones de navegador con puerta trasera

Los investigadores de ciberseguridad de Avast han informado recientemente de una gran campaña compuesta por docenas de extensiones maliciosas de navegador Chrome y Edge junto con más de tres millones de instalaciones en total. 

Esta campaña ha sido denominada colectivamente «CacheFlow» por Avast; tiene 28 extensiones disponibles en repositorios oficiales de Google y Microsoft expuestas de tal manera que pueden descargar fácilmente imágenes, videos o cualquier otro contenido de los sitios.

Todos estos contenidos incluían sitios como Facebook, Instagram, Vimeo y Spotify. Además, los piratas informáticos también han acumulado las fechas de nacimiento de los usuarios, las direcciones de correo electrónico y alguna otra información del dispositivo y han redirigido los clics y los resultados de la búsqueda a sitios mal dispuestos.

Los investigadores afirmaron que el flujo en caché fue sorprendente de tal manera que las extensiones maliciosas intentarían ocultar todo su tráfico de comando y control en un canal encubierto utilizando el encabezado HTTP Cache-Control de sus solicitudes de análisis.

Los piratas informáticos utilizaron algún truco furtivo para disfrazar su verdadera intención, por eso aprovechan el encabezado HTTP Cache-Control como un canal encubierto simplemente para recuperar comandos de un servidor controlado por un atacante.