usdt<钱包支>付（www.caibao.it）：一起行使浏览器扩展挟制搜索效果的攻击流动

USDT自动充值接口

{菜宝}“钱包”（caibao.it）是使用TRC-20协议的Usdt第三方支付平台,Usdt收款平台、Usdt自动充提平台、usdt“跑分平台”。免费提供入金通道、Usdt“钱包”支付接口、Usdt自动充值接口、Usdt无需实名寄售回收。{菜宝}Usdt“钱包”一键生成Usdt“钱包”、一键调用API接口、{一键}无实名出售Usdt。

Avast研究人员发现大量恶意Chrome【和】Egde浏览器扩展被用来挟制搜索效果页面<中>的链接到随便URL， 其<中>包罗[钓鱼网站【和】广告。

Avast 研究人员发现一起行使‘浏览器扩展挟制搜索效’果的攻击流动——CacheFlow。其<中>有28个恶意Chrome【和】Egde浏览器扩展使用Cache-Control HTTP header作为隐藏信道来‘从’攻击者控制的“服务”器<中>提取下令，（涉及的浏览）器扩展包罗Video Downloader for Facebook、Vimeo Video Downloader、Instagram Story Downloader、VK Unblock。

Avast剖析发现下载【和】安装CacheFlow 扩展用户最多的3【个国家是巴西】、乌克兰【和】法国，《然后是阿根廷》、西班牙、俄罗斯【和】美国。

CacheFlow 攻击流如下所示：

CacheFlow攻击‘从’可以用户在浏览器<中>下载恶意扩展最先。恶意扩展安装后，会向远程“服务”器发送类似Google Analytics 的剖析请求，然后返回一个含有隐藏下令的经心伪造的Cache-Control header，其<中>隐藏下令的作用是提取第二阶段payload，第二阶段payload是最终的JS payload的下载器。

JS 恶意软件会网络出生日（期）、邮件地址、地理位置、装备流动等。为了获取生日信息，CacheFlow会剖析一个到https://myaccount.google.com/birthday 的XHR 请求，并‘从’响应新闻<中>剖析出生日（期）。

最后，payload会注入另一端JS 代码到每个tab<中>，使用它来挟制到正当网站的点击，修改Google、Bing、雅虎等的搜索效果，将受害者重路由到差别的URL。

Usdt第三方支付接口

{菜宝}“钱包”（caibao.it）是使用TRC-20协议的Usdt第三方支付平台,Usdt收款平台、Usdt自动充提平台、usdt“跑分平台”。免费提供入金通道、Usdt“钱包”支付接口、Usdt自动充值接口、Usdt无需实名寄售回收。{菜宝}Usdt“钱包”一键生成Usdt“钱包”、一键调用API接口、{一键}无实名出售Usdt。

恶意扩展有个异常有意思的地方，就是会制止熏染web「开发者这样的用」户。恶意扩展会盘算用户安装的扩展权重分或检查是否有内陆搭建的网站，「好比」.dev、.local,、.localhost，而且在扩展安装后的前3天不会有任何可疑的恶意行为。

‘从’Chrome Web Store的用户谈论来看，CacheFlow‘从’2017‘年’10『月』就最先活跃了。一般来说，用户会对照信托官方浏览器商铺安装的扩展， 以为[其是平安的，然则近‘年’来的研究发现，来自官方商铺的应用【和】扩展都不一定是平安的。

CacheFlow攻击使用了剖析请求<中>的Cache-Control HTTP header作为隐藏信道来隐藏其下令【和】控制流量，研究人员以为这是一种新的手艺。

CacheFlow隐藏C2〖下令流程〗

<所>有CacheFlow攻击流动相关的恶意浏览器扩展已于2020‘年’12『月』18日被谷歌、微软下架，以预防用户继续下载，已经下载的用户可以移除相关扩展来预防恶意攻击流动。

完整手艺剖析参见：https://decoded.avast.io/janvojtesek/backdoored-browser-extensions-hid-malicious-traffic-in-analytics-requests/