在野外发现了一个名为“Cloud9”的新 Chrome 浏览器僵尸网络,它使用恶意扩展来窃取在线帐户、记录击键、注入广告和恶意 JS 代码,并让受害者的浏览器参与 DDoS 攻击。
Cloud9 浏览器僵尸网络实际上是 Chromium Web 浏览器(包括 Google Chrome 和 Microsoft Edge)的远程访问木马 (RAT),允许攻击者远程执行命令。
恶意 Chrome 扩展程序在官方 Chrome 网上商店中不可用,而是通过其他渠道传播,例如推送虚假 Adobe Flash Player 更新的网站。
这种方法似乎运作良好,因为 Zimperium 的研究人员今天报告说,他们已经在全球系统上看到了 Cloud9 感染。
感染您的浏览器
Cloud9 是一个恶意浏览器扩展,它对 Chromium 浏览器进行后门,以执行大量恶意功能和功能。
该扩展由三个 JavaScript 文件组成,用于收集系统信息、使用主机资源挖掘加密货币、执行 DDoS 攻击以及注入运行浏览器漏洞的脚本。
Zimperium 注意到 Firefox 中的 CVE-2019-11708 和 CVE-2019-9810 漏洞、Internet Explorer 的 CVE-2014-6332 和 CVE-2016-0189 以及 Edge 的 CVE-2016-7200 漏洞的加载。
这些漏洞用于在主机上自动安装和执行 Windows 恶意软件,使攻击者能够进行更严重的系统破坏。
然而,即使没有 Windows 恶意软件组件,Cloud9 扩展程序也可以从受感染的浏览器中窃取 cookie,威胁参与者可以使用这些 cookie 劫持有效的用户会话并接管帐户。
此外,该恶意软件具有一个键盘记录器,可以窥探按键以窃取密码和其他敏感信息。
扩展中还存在一个“剪辑器”模块,不断监视系统剪贴板中是否有复制的密码或信用卡。
Cloud9 还可以通过静默加载网页来注入广告,从而产生广告印象,从而为其运营商带来收入。
最后,恶意软件可以利用主机的火力通过对目标域的 HTTP POST 请求执行第 7 层 DDoS 攻击。
“第 7 层攻击通常很难检测,因为 TCP 连接看起来与合法请求非常相似,” Zimperium 评论道。
“开发人员很可能会使用这个僵尸网络来提供执行 DDOS 的服务。”
运算符和目标
Cloud9 背后的黑客被认为与 Keksec 恶意软件组织有联系,因为在最近的活动中使用的 C2 域在 Keksec 过去的攻击中被发现。
Keksec 负责开发和运行多个僵尸网络项目,包括EnemyBot、Tsunamy、Gafgyt、DarkHTTP、DarkIRC 和 Necro。
Cloud9 的受害者遍布全球,威胁行为者在论坛上发布的屏幕截图表明他们针对各种浏览器。
此外,在网络犯罪论坛上公开宣传 Cloud9 导致 Zimperium 相信 Keksec 可能会将其出售/出租给其他运营商。
