Μια κακόβουλη browser επέκταση, με το όνομα Cloud9, επιτρέπει στους hackers να πάρουν τον έλεγχο προγραμμάτων περιήγησης και συσκευών.
Τα προγράμματα περιήγησης περιέχουν τα πιο ευαίσθητα δεδομένα ενός χρήστη, και γι’ αυτό το λόγο αποτελούν ολοένα και πιο ελκυστικό στόχο για τους εγκληματίες του κυβερνοχώρου. Κάθε πληκτρολόγηση ή session cookie έχει πολύ σημαντικές πληροφορίες. Επομένως, η πρόσβαση σε αυτές τις πληροφορίες θα μπορούσε να δημιουργήσει σοβαρά ζητήματα ασφάλειας.
Η ομάδα Zimperium zLabs ανακάλυψε μια κακόβουλη επέκταση που όχι μόνο κλέβει πληροφορίες που είναι διαθέσιμες κατά τη διάρκεια του browser session, αλλά μπορεί επίσης να εγκαταστήσει κακόβουλο λογισμικό στη συσκευή του χρήστη και να δώσει στους επιτιθέμενους τον έλεγχο της συσκευής. Αυτή η κακόβουλη επέκταση ονομάζεται Cloud9.
Δείτε επίσης: Ο influencer Hushpuppi καταδικάζεται σε 11 χρόνια φυλάκιση για cyber fraud
Η επέκταση Cloud9 δεν είναι διαθέσιμη σε κανένα επίσημο κατάστημα επεκτάσεων για προγράμματα περιήγησης. Οι ερευνητές εντόπισαν διάφορες μεθόδους διανομής αλλά οι πιο συνηθισμένες ήταν: side-loading μέσω ψεύτικων εκτελέσιμων αρχείων και ψεύτικοι ιστότοποι με υποτιθέμενες ενημερώσεις του Adobe Flash Player.
Τι κάνει το Cloud9 Browser Botnet?
Το κακόβουλο λογισμικό Cloud9 λειτουργεί παρόμοια με ένα trojan απομακρυσμένης πρόσβασης (RAT) και έχει πολλές δυνατότητες. Βρέθηκαν δύο ελαφρώς διαφορετικές παραλλαγές: μία αρχική και μία βελτιωμένη έκδοση με εκτεταμένες δυνατότητες και διορθώσεις σφαλμάτων. Οι ερευνητές ανέλυσαν τη “βελτιωμένη” έκδοση, καθώς περιέχει όλες τις λειτουργίες (της πρώτης παραλλαγής και τις δικές της).
Οι κύριες κακόβουλες δραστηριότητες που μπορούν να πραγματοποιηθούν με αυτή την κακόβουλη επέκταση είναι:
- Αποστολή GET/POST requests, που μπορούν να χρησιμοποιηθούν για πρόσβαση σε κακόβουλους πόρους.
- CookieStealing, το οποίο μπορεί να παραβιάσει τα user sessions.
- Keylogging που μπορεί να χρησιμοποιηθεί για κλοπή σημαντικών πληροφοριών και κωδικών πρόσβασης.
- Layer 4 / Layer 7 hybrid επίθεση, για την πραγματοποίηση επιθέσεων DDos από το PC του θύματος.
- OS και Browser ανίχνευση, για next stage payloads
- Άνοιγμα Pop-unders, για εισαγωγή διαφημίσεων.
- Εκτέλεση JavaScript κώδικα από άλλες πηγές, για εισαγωγή πρόσθετου κακόβουλου κώδικα.
- Φόρτωση webpages, για την εισαγωγή διαφημίσεων ή πρόσθετου κακόβουλου κώδικα.
- Cryptomining
- Αποστολή browser exploit, που χρησιμοποιείται για τον έλεγχο της συσκευής με εκτέλεση κακόβουλου κώδικα.
Δείτε επίσης: Οι επιθέσεις password hacking αυξάνονται συνεχώς
Διαχειριστές και στόχοι
Υπάρχουν υποψίες ότι οι εγκληματίες του κυβερνοχώρου που βρίσκονται πίσω από την κακόβουλη επέκταση Cloud9 συνδέονται με την ομάδα Keksec. Η υπόθεση αυτή προκύπτει από έρευνα που δείχνει ότι τα domains που χρησιμοποιήθηκαν σε πρόσφατες εκστρατείες Cloud9 είχαν επίσης χρησιμοποιηθεί από την Keksec σε προηγούμενες επιθέσεις.
Η Keksec είναι υπεύθυνη για την ανάπτυξη και τη λειτουργία πολλών botnet projects, συμπεριλαμβανομένων των EnemyBot, Tsunamy, Gafgyt, DarkHTTP, DarkIRC και Necro.
Σύμφωνα με τους ερευνητές της Zimperium, τα θύματα της κακόβουλης επέκτασης Cloud9 βρίσκονται σε όλο τον κόσμο και τα screenshots που έχουν ανεβάσει οι επιτιθέμενοι σε hacking forums δείχνουν ότι στοχεύει διάφορα προγράμματα περιήγησης.
Δείτε επίσης: Medibank: Αρνείται να πληρώσει λύτρα – Οι hackers πιέζουν με διαρροή δεδομένων
Επιπλέον, η Zimperium πιστεύει ότι η ομάδα πίσω από το Cloud9, το πουλά ή το νοικιάζει σε άλλους εγκληματίες του κυβερνοχώρου, και γι’ αυτό το λόγο το προωθεί δημόσια σε hacking forums.
Οι κακόβουλες επεκτάσεις αποτελούν μια πραγματική απειλή για την ηλεκτρονική σας ασφάλεια. Ακολουθώντας μερικά βασικά μέτρα προστασίας, μπορείτε να ενισχύσετε την ασφάλειά σας. Αυτά περιλαμβάνουν την εγκατάσταση επεκτάσεων μόνο από αξιόπιστες πηγές, την ενημέρωση των επεκτάσεων και τον περιορισμό του όγκου των δεδομένων που μοιράζεστε με επεκτάσεις.
Περισσότερες λεπτομέρειες για την κακόβουλη επέκταση Cloud9, μπορείτε να βρείτε στην έκθεση της Zimperium.
Πηγή: www.bleepingcomputer.com