谷歌瀏覽器可能被一個新的惡意擴展遠程控制

發(fā)布時間 2022-11-09

最近Zimperium 的研究人員發(fā)現(xiàn)了一個新的名為“Cloud9”的 Chrome 瀏覽器僵尸網(wǎng)絡(luò),它使用惡意擴展來竊取在線帳戶、記錄擊鍵、注入廣告和惡意 JS 代碼,并讓受害者的瀏覽器參與 DDoS 攻擊。

Cloud9 瀏覽器實際上是 Chromium Web 瀏覽器(包括 Google Chrome 和 Microsoft Edge)的遠程訪問木馬 (RAT),其作用是允許攻擊者遠程執(zhí)行命令。惡意 Chrome 擴展程序在官方 Chrome 網(wǎng)上商店中不可用,而是通過其他渠道傳播,例如推送虛假 Adobe Flash Player 更新的網(wǎng)站。

21.jpg

這種方法似乎運作良好,因為根據(jù)Zimperium 的研究人員報告說,他們已經(jīng)在全球系統(tǒng)上看到了 Cloud9 感染。

感染瀏覽器

Cloud9 是一個惡意瀏覽器擴展,它對 Chromium 瀏覽器進行感染,以執(zhí)行大量的惡意功能。該擴展工具由三個 JavaScript 文件組成,用于收集系統(tǒng)信息、使用主機資源挖掘加密貨幣、執(zhí)行 DDoS 攻擊以及注入運行瀏覽器漏洞的腳本。

Zimperium 注意到它還加載了針對 Firefox 中的 CVE-2019-11708 和 CVE-2019-9810 漏洞、Internet Explorer 的 CVE-2014-6332 和 CVE-2016-0189 以及 Edge 的 CVE-2016-7200 漏洞的利用。這些漏洞用于在主機上自動安裝和執(zhí)行 Windows 惡意軟件,使攻擊者能夠進行更深入的系統(tǒng)入侵。然而,即使沒有 Windows 惡意軟件組件,Cloud9 擴展也可以從受感染的瀏覽器中竊取 cookie,攻擊者可以使用這些 cookie 劫持有效的用戶會話并接管帳戶。

22.jpg

此外,該惡意軟件具有一個鍵盤記錄器,可以窺探按鍵以竊取密碼和其他敏感信息。擴展中還存在一個“剪輯器”模塊,不斷監(jiān)視系統(tǒng)剪貼板中是否有復制的密碼或信用卡。

23.jpg

Cloud9 還可以通過靜默加載網(wǎng)頁來注入廣告,從而產(chǎn)生廣告展示,為其運營商帶來收入。最后,惡意軟件可以利用主機通過對目標域的 HTTP POST 請求執(zhí)行第 7 層 DDoS 攻擊?!暗?7 層攻擊通常很難檢測,因為 TCP 連接看起來與正常請求非常相似” ,Zimperium 評論道。開發(fā)人員很可能會使用這個僵尸網(wǎng)絡(luò)來提供執(zhí)行 DDOS 的服務(wù)。

運算符和目標

Cloud9 背后的黑客有可能與 Keksec 惡意軟件組織有聯(lián)系,因為在最近的活動中使用的 C2 域在 Keksec 過去的攻擊中被發(fā)現(xiàn)。Keksec 負責開發(fā)和運行多個僵尸網(wǎng)絡(luò)項目,包括EnemyBot、Tsunamy、Gafgyt、DarkHTTP、DarkIRC 和 Necro。Cloud9 的受害者遍布全球,攻擊者在論壇上發(fā)布的屏幕截圖表明他們針對各種瀏覽器。

24.jpg

此外,在網(wǎng)絡(luò)犯罪論壇上公開宣傳 Cloud9 導致 Zimperium 相信 Keksec 可能會將其出售/出租給其他運營商。