Estensione malevola colpisce Google Chrome; consentendo agli hacker di prendere il controllo da remoto

Chrome, utilizzato da molti in tutto il mondo, memorizza informazioni sugli utenti e supporta una vasta gamma di estensioni, il che lo rende un obiettivo per attacchi malware.

Ora, secondo un rapporto di Zimperium, un’estensione malevola consente agli attaccanti di utilizzare Google Chrome da remoto.

Secondo un nuovo rapporto, una nuova vulnerabilità di Chrome chiamata Cloud9 ha utilizzato estensioni malevole per rubare account online, e sequenze di tasti, iniettare annunci, JS Node malevolo e unirsi al browser della vittima in un attacco DDOS.

Il botnet Cloud9 è fondamentalmente un trojan di accesso remoto (RAT) per browser basati su chromium, cioè Google Chrome e Microsoft Edge, che consente al gruppo di eseguire comandi da remoto.

Sebbene l’estensione malevola di Chrome non sia presente nello Store ufficiale di Chrome, viene diffusa attraverso altri mezzi come siti web che spingono aggiornamenti falsi di Adobe Flash Player, il che sembra funzionare bene poiché ha colpito utenti in tutto il pianeta, menziona il rapporto!

L’estensione malevola di Chrome consiste nel minare criptovalute utilizzando le risorse della vittima, tre Javascript per raccogliere informazioni sul sistema e iniettare script che eseguono botnet del browser.

La società di sicurezza ha notato il caricamento delle vulnerabilità CVE-2019-11708 e CVE-2019-9810 per Firefox, CVE 2014-6332 e CVE 2016-0189 per il vecchio Internet Explorer, e CVE-2016- per Microsoft Edge.

Queste vulnerabilità vengono utilizzate per installare automaticamente e eseguire malware di Windows sulla vittima, consentendo al gruppo di eseguire gravi compromissioni del sistema.

Sebbene anche senza installare il componente malware di Windows, l’estensione malevola, cioè cloud9, possa rubare i cookie dal browser colpito, consentendo al gruppo di sequestrare la sessione utente e prendere il controllo degli account.

Inoltre, la vulnerabilità utilizza un keylogger che cerca le pressioni dei tasti per rubare le password e un sistema che scansiona costantemente il clipboard del sistema per nuove password e altre informazioni sensibili.

Il malware utilizza la potenza dell’host per eseguire attacchi DDOS di livello 7 tramite una richiesta HTTP POST per attaccare il dominio. Detto ciò, gli attacchi DDOS di livello 7 sono piuttosto difficili da determinare, poiché la connessione TCP sembra una richiesta valida.

Inoltre, l’hacker può iniettare annunci caricando silenziosamente pagine web per generare impressioni pubblicitarie e guadagnare, ha detto Zimperium.

Il gruppo/hacker dietro Cloud9 è probabilmente parte del gruppo Keksec, poiché il dominio C2, utilizzato in uno dei suoi recenti attacchi, è stato visto anche negli attacchi passati di Keksec.

Per chi non lo sapesse, il gruppo Keksec è uno che ha controllato lo sviluppo e l’esecuzione di numerosi botnet come Tsunamy, DarkHTTP, Nectro, ecc.!

Bene, le vittime di questi attacchi sono diffuse in tutto il pianeta, poiché gli screenshot pubblicati dal gruppo indicano che prendono di mira numerosi browser. Tutte queste posizioni pubbliche fanno credere alla società di sicurezza che il gruppo stia vendendo il Cloud9 sui forum di crimine informatico.