Зловредное расширение поражает Google Chrome; позволяя хакерам удаленно захватывать контроль

Chrome, который используется многими по всему миру, хранит информацию о пользователях и поддерживает широкий спектр расширений, что делает его целью для атак вредоносного ПО.

Теперь, согласно отчету Zimperium, зловредное расширение, которое позволяет злоумышленникам использовать Google Chrome удаленно.

Согласно новому отчету, новое Chrome-эксплоит под названием Cloud9 использует зловредные расширения для кражи онлайн-аккаунтов и нажатий клавиш, внедрения рекламы, вредоносного JS Node и участия в DDoS-атаке на браузер жертвы.

Ботнет Cloud9 по сути является трояном удаленного доступа (RAT) для браузеров на основе Chromium, т.е. Google Chrome и Microsoft Edge, позволяя группе выполнять команды удаленно.

Хотя зловредное расширение Chrome не находится в официальном магазине Chrome, оно распространяется через другие средства, такие как веб-сайты, предлагающие фальшивые обновления Adobe Flash Player, что, похоже, работает хорошо, так как оно затронуло пользователей по всему миру, упоминает отчет!

Зловредное расширение Chrome состоит из майнинга криптовалюты с использованием ресурсов жертвы, трех Javascript для сбора информации о системе и внедрения скриптов, которые запускают ботнеты браузера.

Безопасная компания заметила загрузку эксплоитов для уязвимостей CVE-2019-11708 и CVE-2019-9810 для Firefox, CVE 2014-6332 и CVE 2016-0189 для OG Internet Explorer и CVE-2016- для Microsoft Edge.

Эти эксплоиты используются для автоматической установки и выполнения вредоносного ПО для Windows на жертве, позволяя группе выполнять серьезные компрометации системы.

Хотя даже без установки компонента вредоносного ПО для Windows, зловредное расширение, т.е. cloud9, может украсть куки из затронутого браузера, что позволяет группе захватить сессию пользователя и взять под контроль аккаунты.

Более того, эксплоит использует кейлоггер, который ищет нажатия клавиш для кражи паролей и систему, которая постоянно сканирует буфер обмена системы на наличие новых паролей и другой конфиденциальной информации.

Вредоносное ПО использует мощность хоста для выполнения DDoS-атак уровня 7 через HTTP POST-запрос для атаки на домен. Сказав это, DDoS-атаки уровня 7 довольно трудно определить, так как TCP-соединение выглядит как действительный запрос.

Кроме того, хакер может внедрять рекламу, тихо загружая веб-страницы для генерации показов рекламы с целью получения дохода, сказал Zimperium.

Группа/хакеры, стоящие за Cloud9, вероятно, являются частью группы Keksec, так как домен C2, который использовался в одной из ее недавних атак, также наблюдался в прошлых атаках Keksec.

Для тех, кто не знает, группа Keksec контролировала разработку и управление многочисленными ботнетами, такими как Tsunamy, DarkHTTP, Nectro и т.д.!

Что ж, жертвы этих атак разбросаны по всей планете, так как скриншоты, опубликованные группой, указывают на то, что они нацелены на многочисленные браузеры. Все эти публичные позиции заставляют безопасную компанию полагать, что группа продает Cloud9 на форумах киберпреступности.