悪意のある拡張機能がGoogle Chromeを襲撃; ハッカーがリモートで制御を奪うことを可能にする

Chromeは世界中で多くの人に使用されており、ユーザー情報を保存し、さまざまな拡張機能をサポートしているため、マルウェア攻撃の標的となっています。

現在、Zimperiumの報告によると、攻撃者がGoogle Chromeをリモートで使用できる悪意のある拡張機能が存在します。

新しい報告によると、Cloud9という新しいChromeの脆弱性が、悪意のある拡張機能を使用してオンラインアカウントやキーストロークを盗み、広告を挿入し、悪意のあるJSノードを注入し、被害者のブラウザをDDOS攻撃に参加させているとのことです。

Cloud9ボットネットは基本的に、クロミウムベースのブラウザ、つまりGoogle ChromeとMicrosoft Edge用のリモートアクセス型トロイの木馬（RAT）であり、グループがリモートでコマンドを実行できるようにします。

悪意のあるChrome拡張機能は公式のChromeストアにはありませんが、偽のAdobe Flash Playerアップデートを押し出すウェブサイトなどの他の手段を通じて広まっており、報告によれば、世界中のユーザーに影響を与えているようです！

悪意のあるChrome拡張機能は、被害者のリソースを使用して暗号通貨をマイニングし、システムに関する情報を収集するための3つのJavascriptと、ブラウザボットネットを実行するスクリプトを注入します。

セキュリティ会社は、FirefoxのCVE-2019-11708およびCVE-2019-9810の脆弱性、OG Internet ExplorerのCVE 2014-6332およびCVE 2016-0189、およびMicrosoft EdgeのCVE-2016-の脆弱性のエクスプロイトの読み込みを確認しました。

これらのエクスプロイトは、被害者にWindowsマルウェアを自動的にインストールして実行するために使用され、グループが深刻なシステムの妥協を行うことを可能にします。

Windowsマルウェアコンポーネントをインストールしなくても、悪意のある拡張機能、つまりcloud9は、影響を受けたブラウザからクッキーを盗むことができ、グループはユーザーセッションを奪い、アカウントを制御することができます。

さらに、エクスプロイトは、パスワードを盗むためにキー入力を探すキーロガーと、新しいパスワードやその他の機密情報のためにシステムのクリップボードを常にスキャンするシステムを使用します。

マルウェアは、HTTP POSTリクエストを介してドメインを攻撃するためにレイヤー7 DDOS攻撃を実行するためにホストのパワーを登録します。そう言うと、レイヤー7 DDOS攻撃は非常に判断が難しいです。TCP接続は有効なリクエストのように見えるからです。

また、ハッカーは、広告インプレッションを生成して収益を上げるために、静かにウェブページを読み込むことで広告を挿入することができるとZimperiumは述べています。

Cloud9の背後にいるグループ/ハッカーは、Keksecグループの一部である可能性が高いです。最近の攻撃で使用されたC2ドメインは、Keksecの過去の攻撃でも見られました。

Keksecグループは、Tsunamy、DarkHTTP、Nectroなどの多数のボットネットの開発と運営を担当していたグループです！

これらの攻撃の被害者は世界中に広がっており、グループが投稿したスクリーンショットは、彼らが多数のブラウザを標的にしていることを示しています。これらすべての公の位置は、セキュリティ会社がグループがサイバー犯罪フォーラムでCloud9を販売していると信じる理由です。