去年12月，知名網絡安全公司Avast在Chrome和Edge擴展商城上發現了28個含有惡意代碼的擴展程序，有超過300萬互聯網用戶受到影響。今天，Avast進一步披露了該惡意代買CacheFlow的相關細節。所幸的是自2020年12月18日起，谷歌和微軟均已將所有惡意擴展刪除。

這些惡意擴展程序之所以能夠躲避谷歌和微軟嚴苛的安全審查，關鍵原因在於該惡意擴展會嘗試使用分析請求的Cache-Control HTTP標頭來隱藏其命令並控制秘密通道中的流量。Avast認為這是一項新的技術。Avast認為攻擊者增加了Google Analytics（分析）樣式的流量不僅是為了隱藏惡意命令，而且擴展作者也對分析請求本身感興趣。

Avast 認為攻擊的步驟如下

基於Avast 的遙測數據，受影響最嚴重的三個國家和地區是巴西、烏克蘭和法國。

這些惡意擴展程序偽裝成工具，幫助用戶下載Facebook、Instagram 等社交媒體或Vimeo、Spotify 等流媒體平台網站中的內容，但其中的惡意代碼允許下載惡意程序來竊取用戶敏感數據，重定向到廣告和釣魚網站。

Avast表示，這28個擴展包含可能執行一些惡意操作的代碼，包括:

● 將用戶流量重定向到廣告

● 將用戶流量重定向到釣魚網站

● 收集個人數據，如出生日期、電子郵件地址和活動設備

● 收集瀏覽歷史

● 擅自在用戶設備上下載更多的惡意軟件