注意!一个新的恶意扩展可以远程控制你的谷歌浏览器,注入广告和恶意JS代码,并让受害者的浏览器参与DDoS攻击。Cloud9浏览器实际上是一种针对Chromium网络浏览器(包括GoogleChrome和MicrosoftEdge)的远程访问木马(RAT),允许攻击者远程执行命令。官方Chrome网上应用店不提供恶意Chrome扩展程序,而是通过其他渠道传播,例如推送虚假Adob??eFlashPlayer更新的网站。这种方法似乎运作良好,因为Zimperium的研究人员报告说他们已经在全球范围内的系统上发现了Cloud9感染。感染浏览器Cloud9是一种恶意浏览器扩展程序,它会感染Chromium浏览器以执行许多恶意功能。该扩展包含三个JavaScript文件,用于收集系统信息、使用主机资源挖掘加密货币、执行DDoS攻击以及注入运行浏览器漏洞的脚本。Zimperium注意到它还加载了Firefox中的CVE-2019-11708和CVE-2019-9810漏洞、InternetExplorer中的CVE-2014-6332和CVE-2016-0189漏洞以及InternetExplorer中的CVE-2016-7200漏洞。边缘。这些漏洞用于在主机上自动安装和执行Windows恶意软件,允许攻击者执行更深层次的系统入侵。然而,即使没有Windows恶意软件组件,Cloud9扩展程序也可以从受感染的浏览器中窃取cookie,攻击者可以使用这些cookie劫持有效用户会话并接管帐户。此外,该恶意软件还有一个键盘记录器,可以侦听击键以窃取密码和其他敏感信息。扩展中还存在一个“Clipper”模块,它持续监控系统剪贴板中是否有复制的密码或信用卡。Cloud9还可以通过静默加载网页来注入广告,从而产生广告印象,从而为其运营商带来收入。最后,恶意软件可以利用主机通过对目标域的HTTPPOST请求执行第7层DDoS攻击。“第7层攻击通常难以检测,因为TCP连接看起来与正常请求非常相似,”Zimperium评论道。开发者很可能利用这个僵尸网络提供服务来执行DDOS。TargetCloud9背后的运营商和黑客可能与Keksec恶意软件组织有联系,因为在Keksec过去的攻击中发现了最近活动中使用的C2域。Keksec负责开发和运行多个僵尸网络项目,包括EnemyBot、Tsunamy、Gafgyt、DarkHTTP、DarkIRC和Necro。Cloud9的受害者遍布全球,攻击者在论坛上发布的截图显示他们针对的是多种浏览器。此外,在网络犯罪论坛上宣传Cloud9使Zimperium相信Keksec可能会将其出售/出租给其他运营商。
