Bösartige Erweiterung trifft Google Chrome; ermöglicht Hackern die Fernsteuerung

Chrome, das von vielen Menschen weltweit genutzt wird, speichert Benutzerinformationen und unterstützt eine Vielzahl von Erweiterungen, was es zum Ziel für Malware-Angriffe macht.

Jetzt, laut einem Bericht von Zimperium, gibt es eine bösartige Erweiterung, die es Angreifern ermöglicht, Google Chrome aus der Ferne zu nutzen.

Laut einem neuen Bericht gibt es einen neuen Chrome-Exploit namens Cloud9, der bösartige Erweiterungen verwendet, um Online-Konten und Tastatureingaben zu stehlen, Werbung einzuschleusen, bösartige JS-Knoten zu injizieren und den Browser des Opfers in einen DDOS-Angriff einzubeziehen.

Das Cloud9-Botnetz ist im Grunde ein Remote Access Trojan (RAT) für chromium-basierte Browser, d.h. Google Chrome und Microsoft Edge, das der Gruppe ermöglicht, Befehle aus der Ferne auszuführen.

Obwohl die bösartige Chrome-Erweiterung nicht im offiziellen Chrome Store ist, wird sie über andere Medien verbreitet, wie Websites, die gefälschte Adobe Flash Player-Updates pushen, was anscheinend gut funktioniert, da es Benutzer weltweit betroffen hat, erwähnt der Bericht!

Die bösartige Chrome-Erweiterung besteht darin, Kryptowährung unter Verwendung der Ressourcen des Opfers zu schürfen, drei Javascript zur Sammlung von Informationen über das System und das Injizieren von Skripten, die Browser-Botnetze ausführen.

Die Sicherheitsfirma bemerkte das Laden der Exploits für die CVE-2019-11708 & CVE-2019-9810-Schwachstellen für Firefox, CVE 2014-6332 und CVE 2016-0189 für den OG Internet Explorer und CVE-2016- für Microsoft Edge.

Diese Exploits werden verwendet, um automatisch Windows-Malware auf dem Opfer zu installieren und der Gruppe zu ermöglichen, ernsthafte Systemkompromisse durchzuführen.

Obwohl selbst ohne die Installation der Windows-Malware-Komponente die bösartige Erweiterung, d.h. Cloud9, Cookies aus dem betroffenen Browser stehlen kann, wodurch die Gruppe die Benutzersitzung übernehmen und die Konten kontrollieren kann.

Darüber hinaus verwendet der Exploit einen Keylogger, der nach Tasteneingaben sucht, um die Passwörter zu stehlen, und das System, das ständig die Zwischenablage des Systems nach neuen Passwörtern und anderen sensiblen Informationen durchsucht.

Die Malware nutzt die Host-Power, um Layer-7-DDOS-Angriffe durch eine HTTP-POST-Anfrage auf die Domain auszuführen. Damit gesagt, sind Layer-7-DDOS-Angriffe ziemlich schwer zu bestimmen, da die TCP-Verbindung wie eine gültige Anfrage aussieht.

Außerdem kann der Hacker Werbung injizieren, indem er Webseiten stillschweigend lädt, um Werbeimpressionen zu generieren und Einnahmen zu erzielen, sagte Zimperium.

Die Gruppe/Hacker hinter Cloud9 sind wahrscheinlich Teil der Keksec-Gruppe, da die C2-Domain, die in einem ihrer jüngsten Angriffe verwendet wurde, auch in früheren Angriffen von Keksec gesehen wurde.

Für diejenigen, die es nicht wissen, die Gruppe Keksec ist eine, die die Kontrolle über die Entwicklung und den Betrieb zahlreicher Botnetze wie Tsunamy, DarkHTTP, Nectro usw. hatte!

Nun, die Opfer dieser Angriffe sind über den gesamten Planeten verteilt, da die von der Gruppe veröffentlichten Screenshots zeigen, dass sie zahlreiche Browser ins Visier nehmen. All diese öffentlichen Positionen lassen die Sicherheitsfirma glauben, dass die Gruppe Cloud9 in Cybercrime-Foren verkauft.