注意!新的恶意扩展程序可让攻击者远程控制你的谷歌浏览器

近日,一个名为“Cloud9”的新的Chrome浏览器僵尸网络被 Zimperium 的研究人员发现,它使用恶意扩展程序来窃取在线账户、记录击键、注入广告和恶意 JS 代码,并将受害者的浏览器纳入DDoS攻击中。

谷歌浏览器新的僵尸网络

Cloud9 浏览器僵尸网络实际上是 Chromium 网络浏览器(包括 Google Chrome 和 Microsoft Edge)的远程访问木马 (RAT),允许威胁参与者远程执行命令。

恶意的 Chrome 扩展程序并没有在官方的 Chrome 网络商店中提供,而是通过其他渠道传播,例如网站推送虚假的 Adob​​e Flash Player 更新。

Chrome浏览器上虚假的Flash player更新
Chrome 上的恶意浏览器扩展程序 (Zimperium)

这种方法似乎运作良好,正如 Zimperium 的研究人员今天报告的那样,他们已经在全球范围内的系统上发现了 Cloud9 感染。

感染您的浏览器

Cloud9 是一种恶意浏览器扩展程序,它对 Chromium 浏览器设置后门以执行大量的恶意功能。

该扩展由三个 JavaScript 文件组成,用于收集系统信息、使用主机资源挖掘加密货币、执行 DDoS 攻击以及注入运行浏览器漏洞利用的脚本。

Zimperium 注意到 Firefox 的 CVE-2019-11708 和 CVE-2019-9810 漏洞、Internet Explorer 的 CVE-2014-6332 和 CVE-2016-0189 以及 Edge 的 CVE-2016-7200 漏洞的加载

这些漏洞用于在主机上自动安装和执行 Windows 恶意软件,使攻击者能够进行更大的系统危害。

然而,即使没有 Windows 恶意软件组件,Cloud9 扩展程序也可以从受感染的浏览器中窃取 cookie,攻击者可以使用它来劫持有效用户会话并接管帐户。

浏览器cookie窃取
浏览器 cookie 窃取器 (Zimperium)

此外,该恶意软件还具有一个键盘记录器,可以窥探按键以窃取密码和其他敏感信息。

扩展中还包含一个“clipper”模块,持续监控系统剪贴板中是否有复制的密码或信用卡。

Cloud9的clipper组件
Cloud9 的 clipper 组件 (Zimperium)

一个 "剪切器 "模块也出现在扩展中,不断监测系统剪贴板中复制的密码或信用卡。

Cloud9 还可以通过静默加载网页来注入广告,以产生广告展示,从而为其运营商带来收入。

最后,恶意软件可以通过对目标域的 HTTP POST 请求执行第 7 层 DDoS 攻击。“第 7 层攻击通常很难检测到,因为 TCP 连接看起来与合法请求非常相似,” Zimperium 评论道。

“开发者很可能使用这个僵尸网络来提供执行 DDOS 的服务。”

运算符和目标

Cloud9 背后的黑客被认为与 Keksec 恶意软件组织有联系,因为在最近的活动中使用的 C2 域在 Keksec 过去的攻击中被发现。

Keksec 负责开发和运行多个僵尸网络项目,包括EnemyBot、Tsunamy、Gafgyt、DarkHTTP、DarkIRC 和 Necro。

Cloud9 的受害者遍布全球,攻击者在论坛上发布的屏幕截图表明他们针对各种浏览器。

Cloud9 面板截图 (Zimperium)

此外,在网络犯罪论坛上对 Cloud9 的公开宣传让 Zimperium 相信 Kekec 很可能将其出售/出租给其他运营商。

谷歌评论

谷歌发言人向 BleepingComputer 提供了以下评论:

  • 我们始终建议用户更新到最新版本的谷歌浏览器,以确保他们拥有最新的安全保护。
  • 通过在 Chrome 的隐私和安全设置中启用增强保护,用户还可以更好地保护自己免受恶意可执行文件和网站的侵害。
  • 增强保护会自动向您发出有关潜在风险站点和下载的警告,并检查您下载的安全性,并在文件可能存在危险时向您发出警告。

技术杂谈

Google Driver谷歌云盘24小时下载限制最新解决方法

2022-11-6 20:15:37

Windows

HandBrake(中文版)开源免费的跨平台视频转码转换软件

2021-6-6 16:30:44

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索