Extensão Maliciosa Ataca Google Chrome; Permitindo que Hackers Tomem Controle Remotamente

Chrome, que é usado por muitos ao redor do mundo, armazena informações do usuário e suporta uma ampla variedade de extensões, o que o torna um alvo para ataques de malware.

Agora, de acordo com um relatório da Zimperium, uma extensão maliciosa que permite que atacantes usem o Google Chrome remotamente.

De acordo com um novo relatório, uma nova exploração do Chrome chamada Cloud9 tem usado extensões maliciosas para roubar contas online, e pressionamentos de tecla, injetar anúncios, JS Node malicioso, e juntar o navegador da vítima em um ataque DDOS.

A botnet Cloud9 é basicamente um trojan de acesso remoto (RAT) para navegadores baseados em chromium, ou seja, Google Chrome e Microsoft Edge, permitindo que o grupo execute comandos remotamente.

Embora a extensão maliciosa do Chrome não esteja na loja oficial do Chrome, ela está sendo espalhada por outros meios, como sites que empurram atualizações falsas do Adobe Flash Player, o que parece estar funcionando bem, pois afetou usuários em todo o planeta, menciona o relatório!

A extensão maliciosa do Chrome consiste em minerar criptomoeda usando os recursos da vítima, três Javascript para coletar informações sobre o sistema e injetar scripts que executam botnets de navegador.

A empresa de segurança notou o carregamento das explorações para as vulnerabilidades CVE-2019-11708 e CVE-2019-9810 para Firefox, CVE 2014-6332 e CVE 2016-0189 para o OG Internet Explorer, e CVE-2016- para Microsoft Edge.

Essas explorações são usadas para instalar automaticamente e executar malware do Windows na vítima, permitindo que o grupo execute sérias compromissos do sistema.

Embora mesmo sem instalar o componente de malware do Windows, a extensão maliciosa, ou seja, cloud9, possa roubar cookies do navegador afetado, o que o grupo pode usar para sequestrar a sessão do usuário e tomar controle das contas.

Além disso, a exploração usa um keylogger que procura pressionamentos de tecla para roubar as senhas e o sistema que constantemente escaneia a área de transferência do sistema em busca de novas senhas e outras informações sensíveis.

O malware utiliza o poder do host para executar ataques DDOS de camada 7 através de uma solicitação HTTP POST para atacar o domínio. Dito isso, os ataques DDOS de camada 7 são bastante difíceis de determinar, já que a conexão TCP parece uma solicitação válida.

Além disso, o hacker pode injetar anúncios carregando silenciosamente páginas da web para gerar impressões de anúncios e gerar receita, disse a Zimperium.

O grupo/hackers por trás do Cloud9 são provavelmente parte do grupo Keksec, já que o domínio C2, que foi usado em um de seus ataques recentes, foi visto nos ataques anteriores do Keksec também.

Para aqueles que não sabem, o grupo Keksec é um que estava no controle de desenvolver e operar numerosas botnets como Tsunamy, DarkHTTP, Nectro, etc.!

Bem, as vítimas desses ataques estão espalhadas pelo planeta, já que as capturas de tela postadas pelo grupo indicam que eles visam numerosos navegadores. Todas essas posições públicas fazem a empresa de segurança acreditar que o grupo está vendendo o Cloud9 em fóruns de cibercrime.