-
06/04/2022
-
23
-
41 bài viết
Cảnh báo Extension độc hại cho phép kẻ tấn công kiểm soát Google Chrome từ xa
Một mạng botnet mới của trình duyệt Chrome có tên “Cloud9” được phát hiện đã sử dụng các tiện ích mở rộng độc hại để đánh cắp tài khoản trực tuyến, ghi nhật ký tổ hợp phím, chèn quảng cáo và mã JavaScript độc hại, đồng thời sử dụng trình duyệt của nạn nhân phục vụ cho các cuộc tấn công DDoS.
Botnet Cloud9 là một trojan truy cập từ xa (RAT) hoạt động dựa trên trình duyệt web Chromium, bao gồm cả Google Chrome và Microsoft Edge, cho phép kẻ tấn công thực hiện các lệnh từ xa.
Extension này không có sẵn trên cửa hàng Chrome trực tuyến chính thức mà được lưu hành thông qua các kênh thay thế, chẳng hạn như các trang web đẩy các bản cập nhật Adobe Flash Player giả mạo.
Phương pháp này dường như đang hoạt động tốt, bởi các chuyên gia an ninh mạng tại Zimperium đã báo cáo rằng ngày hôm nay rằng họ đã thấy các trường hợp lây nhiễm Cloud9 trên các hệ thống trên toàn cầu.
Extension bao gồm 3 tệp JavaScript để thu thập thông tin hệ thống, khai thác tiền điện tử bằng cách sử dụng tài nguyên của máy chủ, thực hiện các cuộc tấn công DDoS và chèn các tập lệnh khai thác trình duyệt.
Zimperium cũng nhận thấy rằng tiện ích này đã thực hiện tải các lỗ hổng CVE-2019-11708 và CVE-2019-9810 trong Firefox, CVE-2014-6332 và CVE-2016-0189 trong Internet Explorer và CVE-2016-7200 trong Microsoft Edge.
Những lỗ hổng này được sử dụng để tự động cài đặt và thực thi phần mềm độc hại của Windows trên máy chủ, cho phép những kẻ tấn.
Tuy nhiên, ngay cả khi không có phần mềm độc hại Windows, tiện ích mở rộng Cloud9 vẫn có thể đánh cắp cookie từ trình duyệt bị xâm nhập, mà các tác nhân đe dọa có thể sử dụng để chiếm đoạt các phiên người dùng hợp lệ và chiếm đoạt tài khoản.
Ngoài ra, phần mềm độc hại còn có tính năng keylogger có khả năng lưu lại lịch sử các lần nhấn phím để lấy cắp mật khẩu và các thông tin nhạy cảm khác.
Một mô-đun "clipper" cũng có trong tiện ích mở rộng, liên tục giám sát khay nhớ tạm thời của hệ thống để tìm mật khẩu hoặc thẻ tín dụng được sao chép.
Cloud9 cũng có thể đưa quảng cáo vào bằng cách tải các trang web một cách âm thầm để tạo ra số lần hiển thị quảng cáo và do đó, mang lại doanh thu cho các nhà điều hành của nó.
Cuối cùng, phần mềm độc hại có thể tranh thủ sử dụng máy nạn nhân để thực hiện các cuộc tấn công DDoS layer 7 thông qua các yêu cầu HTTP POST đến mục tiêu.
"Các cuộc tấn công lớp 7 thường rất khó phát hiện vì kết nối TCP trông rất giống với các yêu cầu hợp pháp. Nhà phát triển có khả năng sử dụng mạng botnet này để cung cấp dịch vụ thực hiện DDOS.”
Keksec chịu trách nhiệm phát triển và chạy nhiều dự án botnet, bao gồm EnemyBot , Tsunamy, Gafgyt, DarkHTTP, DarkIRC và Necro.
Kẻ đe dọa trên các diễn đàn đăng ảnh chụp màn hình và công khai các nạn nhân của Cloud9 ra Internet cho thấy chúng nhắm mục tiêu vào nhiều trình duyệt khác nhau.
Ngoài ra, việc quảng bá công khai Cloud9 trên các diễn đàn tội phạm mạng khiến Zimperium tin rằng Keksec có khả năng bán hoặc cho các phép nhà khai thác khác thuê nó.
Botnet Cloud9 là một trojan truy cập từ xa (RAT) hoạt động dựa trên trình duyệt web Chromium, bao gồm cả Google Chrome và Microsoft Edge, cho phép kẻ tấn công thực hiện các lệnh từ xa.
Extension này không có sẵn trên cửa hàng Chrome trực tuyến chính thức mà được lưu hành thông qua các kênh thay thế, chẳng hạn như các trang web đẩy các bản cập nhật Adobe Flash Player giả mạo.
Phương pháp này dường như đang hoạt động tốt, bởi các chuyên gia an ninh mạng tại Zimperium đã báo cáo rằng ngày hôm nay rằng họ đã thấy các trường hợp lây nhiễm Cloud9 trên các hệ thống trên toàn cầu.
Lây nhiễm trình duyệt
Cloud9 là một tiện ích mở rộng độc hại, có khả năng tạo Backdoor trên các trình duyệt Chromium nhằm thực hiện danh sách các hành động trái phép mang lại lợi ích cho kẻ tấn công.Extension bao gồm 3 tệp JavaScript để thu thập thông tin hệ thống, khai thác tiền điện tử bằng cách sử dụng tài nguyên của máy chủ, thực hiện các cuộc tấn công DDoS và chèn các tập lệnh khai thác trình duyệt.
Zimperium cũng nhận thấy rằng tiện ích này đã thực hiện tải các lỗ hổng CVE-2019-11708 và CVE-2019-9810 trong Firefox, CVE-2014-6332 và CVE-2016-0189 trong Internet Explorer và CVE-2016-7200 trong Microsoft Edge.
Những lỗ hổng này được sử dụng để tự động cài đặt và thực thi phần mềm độc hại của Windows trên máy chủ, cho phép những kẻ tấn.
Tuy nhiên, ngay cả khi không có phần mềm độc hại Windows, tiện ích mở rộng Cloud9 vẫn có thể đánh cắp cookie từ trình duyệt bị xâm nhập, mà các tác nhân đe dọa có thể sử dụng để chiếm đoạt các phiên người dùng hợp lệ và chiếm đoạt tài khoản.
Ngoài ra, phần mềm độc hại còn có tính năng keylogger có khả năng lưu lại lịch sử các lần nhấn phím để lấy cắp mật khẩu và các thông tin nhạy cảm khác.
Một mô-đun "clipper" cũng có trong tiện ích mở rộng, liên tục giám sát khay nhớ tạm thời của hệ thống để tìm mật khẩu hoặc thẻ tín dụng được sao chép.
Cloud9 cũng có thể đưa quảng cáo vào bằng cách tải các trang web một cách âm thầm để tạo ra số lần hiển thị quảng cáo và do đó, mang lại doanh thu cho các nhà điều hành của nó.
Cuối cùng, phần mềm độc hại có thể tranh thủ sử dụng máy nạn nhân để thực hiện các cuộc tấn công DDoS layer 7 thông qua các yêu cầu HTTP POST đến mục tiêu.
"Các cuộc tấn công lớp 7 thường rất khó phát hiện vì kết nối TCP trông rất giống với các yêu cầu hợp pháp. Nhà phát triển có khả năng sử dụng mạng botnet này để cung cấp dịch vụ thực hiện DDOS.”
Các nhà khai thác và mục tiêu
Các tin tặc đằng sau Cloud9 dường như có quan hệ với nhóm phần mềm độc hại Keksec vì các miền C2 được sử dụng trong chiến dịch gần đây đã được phát hiện trong các cuộc tấn công trước đó của Keksec.Keksec chịu trách nhiệm phát triển và chạy nhiều dự án botnet, bao gồm EnemyBot , Tsunamy, Gafgyt, DarkHTTP, DarkIRC và Necro.
Kẻ đe dọa trên các diễn đàn đăng ảnh chụp màn hình và công khai các nạn nhân của Cloud9 ra Internet cho thấy chúng nhắm mục tiêu vào nhiều trình duyệt khác nhau.
Ngoài ra, việc quảng bá công khai Cloud9 trên các diễn đàn tội phạm mạng khiến Zimperium tin rằng Keksec có khả năng bán hoặc cho các phép nhà khai thác khác thuê nó.
Theo: BleepingComputer
Chỉnh sửa lần cuối: