最近Zimperium 的研究人員發(fā)現(xiàn)了一個新的名為“Cloud9”的 Chrome 瀏覽器僵尸網(wǎng)絡(luò)，它使用惡意擴展來竊取在線帳戶、記錄擊鍵、注入廣告和惡意 JS 代碼，并讓受害者的瀏覽器參與 DDoS 攻擊。

Cloud9 瀏覽器實際上是 Chromium Web 瀏覽器（包括 Google Chrome 和 Microsoft Edge）的遠程訪問木馬 (RAT)，其作用是允許攻擊者遠程執(zhí)行命令。

惡意 Chrome 擴展程序在官方 Chrome 網(wǎng)上商店中不可用，而是通過其他渠道傳播，例如推送虛假 Adob??e Flash Player 更新的網(wǎng)站。

這種方法似乎運作良好，因為根據(jù)Zimperium 的研究人員報告說，他們已經(jīng)在全球系統(tǒng)上看到了 Cloud9 感染。

感染瀏覽器

Cloud9 是一個惡意瀏覽器擴展，它對 Chromium 瀏覽器進行感染，以執(zhí)行大量的惡意功能。

該擴展工具由三個 JavaScript 文件組成，用于收集系統(tǒng)信息、使用主機資源挖掘加密貨幣、執(zhí)行 DDoS 攻擊以及注入運行瀏覽器漏洞的腳本。

Zimperium 注意到它還加載了針對 Firefox 中的 CVE-2019-11708 和 CVE-2019-9810 漏洞、Internet Explorer 的 CVE-2014-6332 和 CVE-2016-0189 以及 Edge 的 CVE-2016-7200 漏洞的利用。

這些漏洞用于在主機上自動安裝和執(zhí)行 Windows 惡意軟件，使攻擊者能夠進行更深入的系統(tǒng)入侵。

然而，即使沒有 Windows 惡意軟件組件，Cloud9 擴展也可以從受感染的瀏覽器中竊取 cookie，攻擊者可以使用這些 cookie 劫持有效的用戶會話并接管帳戶。

此外，該惡意軟件具有一個鍵盤記錄器，可以窺探按鍵以竊取密碼和其他敏感信息。

擴展中還存在一個“剪輯器”模塊，不斷監(jiān)視系統(tǒng)剪貼板中是否有復(fù)制的密碼或信用卡。

Cloud9 還可以通過靜默加載網(wǎng)頁來注入廣告，從而產(chǎn)生廣告展示，為其運營商帶來收入。

最后，惡意軟件可以利用主機通過對目標域的 HTTP POST 請求執(zhí)行第 7 層 DDoS 攻擊。

“第 7 層攻擊通常很難檢測，因為 TCP 連接看起來與正常請求非常相似” ，Zimperium 評論道。

開發(fā)人員很可能會使用這個僵尸網(wǎng)絡(luò)來提供執(zhí)行 DDOS 的服務(wù)。

運算符和目標

Cloud9 背后的黑客有可能與 Keksec 惡意軟件組織有聯(lián)系，因為在最近的活動中使用的 C2 域在 Keksec 過去的攻擊中被發(fā)現(xiàn)。

Keksec 負責開發(fā)和運行多個僵尸網(wǎng)絡(luò)項目，包括EnemyBot、Tsunamy、Gafgyt、DarkHTTP、DarkIRC 和 Necro。

Cloud9 的受害者遍布全球，攻擊者在論壇上發(fā)布的屏幕截圖表明他們針對各種瀏覽器。

此外，在網(wǎng)絡(luò)犯罪論壇上公開宣傳 Cloud9 導(dǎo)致 Zimperium 相信 Keksec 可能會將其出售/出租給其他運營商。