恶意扩展程序让攻击者远程控制谷歌浏览器
在野外发现了一个名为“Cloud9”的新 Chrome 浏览器僵尸网络,使用恶意扩展程序窃取在线帐户、记录击键、注入广告和恶意 JS 代码,并在 DDoS 攻击中招募受害者的浏览器。
在野外发现了一个名为“Cloud9”的新 Chrome 浏览器僵尸网络,使用恶意扩展程序窃取在线帐户、记录击键、注入广告和恶意 JS 代码,并在 DDoS 攻击中招募受害者的浏览器。
Cloud9浏览器僵尸网络实际上是Chromium网络浏览器(包括Google Chrome和Microsoft Edge)的远程访问木马(RAT),允许威胁参与者远程执行命令。
恶意Chrome扩展程序在官方Chrome网上商店不可用,而是通过其他渠道传播,例如推送虚假Adobe Flash Player更新的网站。
Chrome 上的恶意浏览器扩展程序
Chrome 上的恶意浏览器扩展程序 (Zimperium)
这种方法似乎运行良好,因为Zimperium的研究人员今天报告说,他们已经在全球系统上看到了Cloud9感染。
感染您的浏览器
Cloud9 是一个恶意浏览器扩展,它后门 Chromium 浏览器以执行广泛的恶意功能和能力列表。
该扩展由三个JavaScript文件组成,用于收集系统信息,使用主机的资源挖掘加密货币,执行DDoS攻击以及注入运行浏览器漏洞的脚本。
Zimperium注意到Firefox中的CVE-2019-11708和CVE-2019-9810漏洞,Internet Explorer的CVE-2014-6332和CVE-2016-0189以及Edge的CVE-2016-7200漏洞加载。
这些漏洞用于在主机上自动安装和执行 Windows 恶意软件,使攻击者能够进行更重大的系统入侵。
但是,即使没有 Windows 恶意软件组件,Cloud9 扩展也可以从受感染的浏览器中窃取 cookie,威胁参与者可以使用它来劫持有效的用户会话并接管帐户。
浏览器饼干窃取程序
浏览器cookie窃取者(Zimperium)
此外,该恶意软件还具有键盘记录器,可以窥探按键以窃取密码和其他敏感信息。
扩展中还存在“clipper”模块,不断监控系统剪贴板中复制的密码或信用卡。
Cloud9 的剪影器组件
Cloud9的剪刀组件(Zimperium)
Cloud9 还可以通过静默加载网页来注入广告,以产生广告印象,从而为其运营商带来收入。
最后,恶意软件可以利用主机的火力,通过对目标域的 HTTP POST 请求执行第 7 层 DDoS 攻击。
“第 7 层攻击通常很难检测到,因为 TCP 连接看起来与合法请求非常相似,”Zimperium 评论道。
“开发人员很可能正在使用这个僵尸网络来提供服务来执行DDOS。
运营商和目标
Cloud9背后的黑客被认为与Keksec恶意软件组织有联系,因为在最近的活动中使用的C2域出现在Keksec过去的攻击中。
Keksec负责开发和运行多个僵尸网络项目,包括EnemyBot,Tsunamy,Gafgyt,DarkHTTP,DarkIRC和Necro。
Cloud9的受害者遍布全球,威胁行为者在论坛上发布的屏幕截图表明他们针对各种浏览器。
Cloud9面板截图
Cloud9面板(Zimperium)的屏幕截图
此外,在网络犯罪论坛上公开推广Cloud9导致Zimperium相信Keksec可能会将其出售/出租给其他运营商。
Cloud9浏览器僵尸网络实际上是Chromium网络浏览器(包括Google Chrome和Microsoft Edge)的远程访问木马(RAT),允许威胁参与者远程执行命令。
恶意Chrome扩展程序在官方Chrome网上商店不可用,而是通过其他渠道传播,例如推送虚假Adobe Flash Player更新的网站。
Chrome 上的恶意浏览器扩展程序
Chrome 上的恶意浏览器扩展程序 (Zimperium)
这种方法似乎运行良好,因为Zimperium的研究人员今天报告说,他们已经在全球系统上看到了Cloud9感染。
感染您的浏览器
Cloud9 是一个恶意浏览器扩展,它后门 Chromium 浏览器以执行广泛的恶意功能和能力列表。
该扩展由三个JavaScript文件组成,用于收集系统信息,使用主机的资源挖掘加密货币,执行DDoS攻击以及注入运行浏览器漏洞的脚本。
Zimperium注意到Firefox中的CVE-2019-11708和CVE-2019-9810漏洞,Internet Explorer的CVE-2014-6332和CVE-2016-0189以及Edge的CVE-2016-7200漏洞加载。
这些漏洞用于在主机上自动安装和执行 Windows 恶意软件,使攻击者能够进行更重大的系统入侵。
但是,即使没有 Windows 恶意软件组件,Cloud9 扩展也可以从受感染的浏览器中窃取 cookie,威胁参与者可以使用它来劫持有效的用户会话并接管帐户。
浏览器饼干窃取程序
浏览器cookie窃取者(Zimperium)
此外,该恶意软件还具有键盘记录器,可以窥探按键以窃取密码和其他敏感信息。
扩展中还存在“clipper”模块,不断监控系统剪贴板中复制的密码或信用卡。
Cloud9 的剪影器组件
Cloud9的剪刀组件(Zimperium)
Cloud9 还可以通过静默加载网页来注入广告,以产生广告印象,从而为其运营商带来收入。
最后,恶意软件可以利用主机的火力,通过对目标域的 HTTP POST 请求执行第 7 层 DDoS 攻击。
“第 7 层攻击通常很难检测到,因为 TCP 连接看起来与合法请求非常相似,”Zimperium 评论道。
“开发人员很可能正在使用这个僵尸网络来提供服务来执行DDOS。
运营商和目标
Cloud9背后的黑客被认为与Keksec恶意软件组织有联系,因为在最近的活动中使用的C2域出现在Keksec过去的攻击中。
Keksec负责开发和运行多个僵尸网络项目,包括EnemyBot,Tsunamy,Gafgyt,DarkHTTP,DarkIRC和Necro。
Cloud9的受害者遍布全球,威胁行为者在论坛上发布的屏幕截图表明他们针对各种浏览器。
Cloud9面板截图
Cloud9面板(Zimperium)的屏幕截图
此外,在网络犯罪论坛上公开推广Cloud9导致Zimperium相信Keksec可能会将其出售/出租给其他运营商。
关于作者
评论1次
好家伙 搞得我不敢乱下扩展了