谷歌瀏覽器可能被一個新的惡意擴展遠程控制

發布時間 2022-11-09

最近Zimperium 的研究人員發現了一個新的名為“Cloud9”的 Chrome 瀏覽器僵尸網絡,它使用惡意擴展來竊取在線帳戶、記錄擊鍵、注入廣告和惡意 JS 代碼,并讓受害者的瀏覽器參與 DDoS 攻擊。

Cloud9 瀏覽器實際上是 Chromium Web 瀏覽器(包括 Google Chrome 和 Microsoft Edge)的遠程訪問木馬 (RAT),其作用是允許攻擊者遠程執行命令。惡意 Chrome 擴展程序在官方 Chrome 網上商店中不可用,而是通過其他渠道傳播,例如推送虛假 Adobe Flash Player 更新的網站。

21.jpg

這種方法似乎運作良好,因為根據Zimperium 的研究人員報告說,他們已經在全球系統上看到了 Cloud9 感染。

感染瀏覽器

Cloud9 是一個惡意瀏覽器擴展,它對 Chromium 瀏覽器進行感染,以執行大量的惡意功能。該擴展工具由三個 JavaScript 文件組成,用于收集系統信息、使用主機資源挖掘加密貨幣、執行 DDoS 攻擊以及注入運行瀏覽器漏洞的腳本。

Zimperium 注意到它還加載了針對 Firefox 中的 CVE-2019-11708 和 CVE-2019-9810 漏洞、Internet Explorer 的 CVE-2014-6332 和 CVE-2016-0189 以及 Edge 的 CVE-2016-7200 漏洞的利用。這些漏洞用于在主機上自動安裝和執行 Windows 惡意軟件,使攻擊者能夠進行更深入的系統入侵。然而,即使沒有 Windows 惡意軟件組件,Cloud9 擴展也可以從受感染的瀏覽器中竊取 cookie,攻擊者可以使用這些 cookie 劫持有效的用戶會話并接管帳戶。

22.jpg

此外,該惡意軟件具有一個鍵盤記錄器,可以窺探按鍵以竊取密碼和其他敏感信息。擴展中還存在一個“剪輯器”模塊,不斷監視系統剪貼板中是否有復制的密碼或信用卡。

23.jpg

Cloud9 還可以通過靜默加載網頁來注入廣告,從而產生廣告展示,為其運營商帶來收入。最后,惡意軟件可以利用主機通過對目標域的 HTTP POST 請求執行第 7 層 DDoS 攻擊。“第 7 層攻擊通常很難檢測,因為 TCP 連接看起來與正常請求非常相似” ,Zimperium 評論道。開發人員很可能會使用這個僵尸網絡來提供執行 DDOS 的服務。

運算符和目標

Cloud9 背后的黑客有可能與 Keksec 惡意軟件組織有聯系,因為在最近的活動中使用的 C2 域在 Keksec 過去的攻擊中被發現。Keksec 負責開發和運行多個僵尸網絡項目,包括EnemyBot、Tsunamy、Gafgyt、DarkHTTP、DarkIRC 和 Necro。Cloud9 的受害者遍布全球,攻擊者在論壇上發布的屏幕截圖表明他們針對各種瀏覽器。

24.jpg

此外,在網絡犯罪論壇上公開宣傳 Cloud9 導致 Zimperium 相信 Keksec 可能會將其出售/出租給其他運營商。