Extensión maliciosa afecta a Google Chrome; permitiendo a los hackers tomar control de forma remota

Chrome, que es utilizado por muchos en todo el mundo, almacena información del usuario y soporta una amplia variedad de extensiones, lo que lo convierte en un objetivo para ataques de malware.

Ahora, según un informe de Zimperium, una extensión maliciosa que permite a los atacantes usar Google Chrome de forma remota.

Según un nuevo informe, una nueva explotación de Chrome llamada Cloud9 ha estado utilizando extensiones maliciosas para robar cuentas en línea, y pulsaciones de teclas, inyectar anuncios, JS Node malicioso, y unirse al navegador de la víctima en un ataque DDOS.

La botnet Cloud9 es básicamente un troyano de acceso remoto (RAT) para navegadores basados en chromium, es decir, Google Chrome y Microsoft Edge, permitiendo al grupo ejecutar comandos de forma remota.

Aunque la extensión maliciosa de Chrome no está en la tienda oficial de Chrome, se está propagando a través de otros medios como sitios web que impulsan actualizaciones falsas de Adobe Flash Player, lo que parece estar funcionando bien ya que ha afectado a usuarios en todo el planeta, menciona el informe.

La extensión maliciosa de Chrome consiste en minar criptomonedas utilizando los recursos de la víctima, tres Javascript para recopilar información sobre el sistema e inyectar scripts que ejecutan botnets en el navegador.

La firma de seguridad notó la carga de las explotaciones para las vulnerabilidades CVE-2019-11708 y CVE-2019-9810 para Firefox, CVE 2014-6332 y CVE 2016-0189 para el OG Internet Explorer, y CVE-2016- para Microsoft Edge.

Estas explotaciones se utilizan para instalar automáticamente y ejecutar malware de Windows en la víctima, permitiendo al grupo realizar compromisos serios del sistema.

Aunque incluso sin instalar el componente de malware de Windows, la extensión maliciosa, es decir, cloud9, puede robar cookies del navegador afectado, lo que permite al grupo apoderarse de la sesión del usuario y tomar control de las cuentas.

Además, la explotación utiliza un keylogger que busca pulsaciones de teclas para robar las contraseñas y el sistema que escanea constantemente el portapapeles del sistema en busca de nuevas contraseñas y otra información sensible.

El malware utiliza la potencia del host para ejecutar ataques DDOS de capa 7 a través de una solicitud HTTP POST para atacar el dominio. Dicho esto, los ataques DDOS de capa 7 son bastante difíciles de determinar, ya que la conexión TCP parece una solicitud válida.

Además, el hacker puede inyectar anuncios cargando silenciosamente páginas web para generar impresiones de anuncios y obtener ingresos, dijo Zimperium.

El grupo/hackers detrás de Cloud9 son probablemente parte del grupo Keksec, ya que el dominio C2, que se utilizó en uno de sus ataques recientes, se ha visto en ataques anteriores de Keksec también.

Para aquellos que no lo saben, el grupo Keksec es uno que estuvo a cargo de desarrollar y ejecutar numerosas botnets como Tsunamy, DarkHTTP, Nectro, ¡etc.!

Bueno, las víctimas de estos ataques están repartidas por todo el planeta, ya que las capturas de pantalla publicadas por el grupo indican que apuntan a numerosos navegadores. Todas estas posiciones públicas hacen que la firma de seguridad crea que el grupo está vendiendo Cloud9 en foros de cibercrimen.