Estás leyendo la publicación: Una extensión maliciosa llega a Google Chrome; Permitir que los piratas informáticos tomen el control de forma remota
Chrome, que es utilizado por muchas personas en todo el mundo, almacena información del usuario y admite una amplia variedad de extensiones, lo que lo convierte en el objetivo de ataques de malware.
Ahora, según un informe de Zimperium, una extensión maliciosa que permite a los atacantes utilizar Google Chrome de forma remota.
Según un nuevo informe, un nuevo exploit de Chrome llamado Cloud9 ha estado utilizando extensiones maliciosas para robar cuentas en línea y pulsaciones de teclas, inyectar anuncios, nodos JS maliciosos y unirse al navegador de la víctima en un ataque DDOS.
La botnet Cloud9 es básicamente un troyano de acceso remoto (RAT) para navegadores basados en Chrome, es decir, Google Chrome y Microsoft Edge, que permite al grupo ejecutar comandos de forma remota.
Aunque la extensión maliciosa de Chrome no está en la tienda oficial de Chrome, se está propagando a través de otros medios como , lo que parece estar funcionando bien ya que ha afectado a usuarios de todo el planeta, menciona el informe.
Extensión de malware Cloud9La extensión maliciosa de Chrome consiste en extraer criptomonedas utilizando los recursos de la víctima, tres Javascript para recopilar información sobre el sistema e inyectar scripts que ejecutan botnets del navegador.
La empresa de seguridad notó la carga de los exploits para el CVE-2019-11708 & CVE-2019-9810 vulnerabilidades para Firefox, CVE 2014-6332 y CVE 2016-0189 para el OG Internet Explorer, y CVE-2016- para Microsoft Edge.
Estos exploits se utilizan para instalar y ejecutar automáticamente malware de Windows en la víctima, lo que permite al grupo ejecutar graves compromisos en el sistema.
Aunque incluso sin instalar el componente de malware de Windows, la extensión maliciosa, es decir, cloud9, puede robar cookies del navegador afectado, lo que permite al grupo apoderarse de la sesión del usuario y tomar el control de las cuentas.
El ladrón de cookies del navegador (a través de Zimperium)Además, el exploit utiliza un registrador de teclas que busca pulsaciones de teclas para robar las contraseñas y el sistema que escanea constantemente el portapapeles del sistema en busca de nuevas contraseñas y otra información confidencial.
Componente clipper de Cloud9 (a través de Zimperium)El malware inscribe la potencia del host para ejecutar ataques DDOS de capa 7 a través de una solicitud HTTP POST para atacar el dominio. Dicho esto, los ataques DDOS de capa 7 son bastante difíciles de determinar, ya que la conexión TCP parece una solicitud válida.
Además, el hacker puede inyectar anuncios cargando silenciosamente páginas web para generar impresiones de anuncios y generar ingresos, dijo Zimperium.
El grupo/hackers detrás de Cloud9 probablemente sean parte del grupo Keksec, ya que el dominio C2, que se utilizó en uno de sus ataques recientes, también se vio en ataques pasados de Keksec.
Para aquellos que no lo saben, ¡el grupo Keksec tenía el control del desarrollo y ejecución de numerosas botnets como Tsunamy, DarkHTTP, Nectro, etc.!
Captura de pantalla del panel Cloud9 (a través de Zimperium)Pues bien, las víctimas de estos ataques están repartidas por todo el planeta, ya que las capturas de pantalla publicadas por el grupo indican que se dirigen a numerosos navegadores. Todas estas posiciones públicas hacen que la firma de seguridad crea que el grupo está vendiendo el Cloud9 en foros de ciberdelincuencia.
