Une extension malveillante frappe Google Chrome ; permettant aux hackers de prendre le contrôle à distance

Chrome, utilisé par de nombreuses personnes à travers le monde, stocke des informations utilisateur et prend en charge une grande variété d’extensions, ce qui en fait une cible pour les attaques de logiciels malveillants.

Maintenant, selon un rapport de Zimperium, une extension malveillante permet aux attaquants d’utiliser Google Chrome à distance.

Selon un nouveau rapport, une nouvelle exploitation de Chrome nommée Cloud9 utilise des extensions malveillantes pour voler des comptes en ligne, des frappes au clavier, injecter des publicités, des nœuds JS malveillants et rejoindre le navigateur de la victime dans une attaque DDOS.

Le botnet Cloud9 est essentiellement un cheval de Troie d’accès à distance (RAT) pour les navigateurs basés sur Chromium, c’est-à-dire Google Chrome et Microsoft Edge, permettant au groupe d’exécuter des commandes à distance.

Bien que l’extension Chrome malveillante ne soit pas sur le Chrome Store officiel, elle est diffusée par d’autres moyens comme des sites web poussant de fausses mises à jour d’Adobe Flash Player, ce qui semble bien fonctionner car cela a affecté des utilisateurs à travers la planète, mentionne le rapport !

L’extension Chrome malveillante consiste à miner des cryptomonnaies en utilisant les ressources de la victime, trois Javascript pour collecter des informations sur le système et injecter des scripts qui exécutent des botnets de navigateur.

La société de sécurité a remarqué le chargement des exploits pour les vulnérabilités CVE-2019-11708 et CVE-2019-9810 pour Firefox, CVE 2014-6332 et CVE 2016-0189 pour l’OG Internet Explorer, et CVE-2016- pour Microsoft Edge.

Ces exploits sont utilisés pour installer automatiquement et exécuter des logiciels malveillants Windows sur la victime, permettant au groupe de réaliser de graves compromissions du système.

Bien qu’il soit même possible de voler des cookies du navigateur affecté sans installer le composant de logiciel malveillant Windows, l’extension malveillante, c’est-à-dire Cloud9, peut voler des cookies du navigateur affecté, permettant au groupe de saisir la session utilisateur et de prendre le contrôle des comptes.

De plus, l’exploit utilise un keylogger qui recherche les frappes pour voler les mots de passe et un système qui scanne constamment le presse-papiers du système à la recherche de nouveaux mots de passe et d’autres informations sensibles.

Le logiciel malveillant utilise la puissance de l’hôte pour exécuter des attaques DDOS de couche 7 via une requête HTTP POST pour attaquer le domaine. Cela dit, les attaques DDOS de couche 7 sont assez difficiles à déterminer, car la connexion TCP ressemble à une requête valide.

De plus, le hacker peut injecter des publicités en chargeant silencieusement des pages web pour générer des impressions publicitaires et générer des revenus, a déclaré Zimperium.

Le groupe/hackers derrière Cloud9 font probablement partie du groupe Keksec, car le domaine C2, qui a été utilisé dans l’une de ses récentes attaques, a également été vu dans les attaques passées de Keksec.

Pour ceux qui ne le savent pas, le groupe Keksec est celui qui contrôlait le développement et l’exécution de nombreux botnets comme Tsunamy, DarkHTTP, Nectro, etc. !

Eh bien, les victimes de ces attaques sont réparties à travers la planète, car les captures d’écran publiées par le groupe indiquent qu’ils ciblent de nombreux navigateurs. Toutes ces positions publiques amènent la société de sécurité à croire que le groupe vend le Cloud9 sur des forums de cybercriminalité.