去年12月，Ars报告称，多达300万人感染了Chrome和Edge浏览器扩展，这些扩展窃取了用户的个人数据，并将用户重定向到广告或钓鱼网站。现在，发现这一骗局的研究人员已经揭露了扩展程序开发人员为了隐藏他们的邪恶行为所花费的时间。

正如之前报道的那样，官方谷歌和微软软件库中提供的28个扩展将自己宣传为一种从Facebook、Instagram、Vimeo和Spotify等网站下载图片、视频或其他内容的方式。在幕后，他们还收集用户的出生日期、电子邮件地址和设备信息，并将点击和搜索结果重定向到恶意网站。谷歌和微软最终删除了扩展。

来自布拉格Avast的研究人员周三表示，该扩展程序的开发人员使用了一种新颖的方法来隐藏在受感染设备和它们连接的命令和控制服务器之间发送的恶意流量。具体来说，扩展将命令导入缓存控制流量头，伪装成与谷歌分析相关的数据，网站使用谷歌分析来衡量访问者的互动。

Avast的研究人员将该活动称为CacheFlow，他们写道:

尤其值得一提的是，恶意扩展使用分析请求的缓存控制HTTP头，沐鸣开户测速试图在隐蔽通道中隐藏它们的命令和控制流量。我们认为这是一项新技术。此外，在我们看来，添加谷歌分析风格的流量不仅是为了隐藏恶意命令，而且扩展作者也对分析请求本身感兴趣。我们相信他们试图用一个解决方案来解决两个问题，命令和控制以及获取分析信息。

Avast解释说，扩展发送了什么似乎是标准的谷歌分析请求https://stats.script-protection[.]com/__utm.gif。然后攻击者服务器将响应一个特殊格式的缓存控制头，然后客户端将解密、解析和执行该头。

扩展开发人员使用其他方法来掩盖他们的踪迹，包括:

避免感染可能是Web开发人员或研究人员的用户。开发人员通过检查用户已经安装的扩展，并检查用户是否访问了本地托管的网站来做到这一点。此外，如果一个扩展检测到浏览器开发人员工具被打开，它会迅速停用其恶意功能。

在感染三天后等待激活恶意功能。

检查用户的每一个谷歌搜索查询。在查询服务器用于命令和控制的扩展时，扩展将立即停止其恶意活动。

下面是扩展工作原理的概述:

根据用户对一些扩展的评论，CacheFlow活动似乎自2017年10月以来一直很活跃。Avast表示，沐鸣开户测速他们发现的秘密措施可能解释了为什么这么长时间内该行动没有被发现。

感染人数最多的国家是巴西、乌克兰和法国。

Ars之前的报道列出了所有被发现有恶意的28个扩展的名字。周三的Avast随访提供了额外的妥协指标，人们可以查看自己是否被感染