- Специальный корреспондент
По Сети распространяется опасный троян под названием Cloud9, упакованный в расширение для браузера Google Chrome, причем под видом некогда популярного Adobe Flash Player. Вредонос способен превратить компьютер жертвы в «зомби», который вопреки воле пользователя добывает криптовалюту, атакует интернет-ресурсы, а также ворует пароли и данные банковских карт.
[H2]Chromium-троян под личиной Flash Player[/H2]
Специалисты американской ИБ-компании Zimperium обнаружили вредоносную кампанию по распространению опасного расширения для браузера Chrome под названием Cloud9, пишет Bleeping Computer.
Cloud9 представляет собой троян удаленного доступа (Remote Access Trojan, ). Это тип вредоносного ПО, позволяющего злоумышленнику получить контроль над компьютером жертвы по сети.
Cloud9 упакован в расширение для браузеров на базе Chromium, таких как Google Chrome и Microsoft Edge, и способен выполнять ряд вредоносных операций на компьютере жертвы.
Расширение Cloud9 маскируется под Adobe Flash Player, порой не совсем удачно: в написании названия компании Adobe допущена орфографическая ошибка
Примечательно, что на соответствующее расширение не представлено ни в одном из проверенных Zimperium магазинов, включая Chrome Web Store. Распространяется оно под видом популярных программ через сторонние площадки, чаще всего маскируясь под обновление плеера Adobe Flash Player. При этом компания Adobe окончательно поддержку Flash-технологии еще в конце 2020 г.
[H2]Функциональность[/H2]
Расширение состоит из трех JavaScript-файлов, в которых реализованы функции сбора информации о машине, добычи (майнинга) криптовалюты на стороне пользователя, осуществления DoS-атаки, а также внедрения скриптов, обеспечивающих запуск некоторых эксплойтов.
В Zimperium зафиксировали факт использования троянским расширением экспойтов уязвимостей -2019-11708 и CVE-2019-9810 для ; CVE-2014-6332 и CVE-2016-0189 для Internet Explorer; CVE-2019-7200 для .
Как отмечает , эти уязвимости задействуются для автоматической установки и запуска дополнительного вредоносного ПО на стороне Windows-хоста, тем самым открывая злоумышленникам доступ к еще более широким возможностям манипулирования целевой системой.
Однако ж и без этого необязательного компонента расширение Cloud9 способно похищать Cookie, созданные скомпрометированным браузером, которые позволяют перехватывать валидные пользовательские сессии с последующим присвоением соответствующих учетных записей.
Также троян включает кейлогер, записывающий нажатия клавиш пользователем. С его помощью злоумышленники имеют возможность получить сведения об используемых жертвой паролях и другую конфиденциальную информацию. В дополнение к этому в Cloud9 предусмотрен модуль мониторинга содержимого буфера обмена на предмет появления в нем скопированных пользователем паролей или данных банковских карт.
Cloud9 позволяет своим операторам зарабатывать на рекламе, которую расширение внедряет в посещаемые пользователем .
Наконец, Cloud9 превращает зараженную машину в участника ботнета, который способен осуществлять DDoS-атаки седьмого уровня (прикладной уровень в ) посредством отправки POST-запросов к целевому ресурсу.
[H2]Операторы и цели[/H2]
Злоумышленники, стоящие за Cloud9, связаны с группировкой Keksec, считают в Zimperium. Keksec известна за счет организации ботнетов на основе EnemyBot, Tsunamy, , DarkHTTP, DarkIRC и Necro.
Операторам ботнета Cloud9 все равно, какая рыба попадет в их сети
В Zimperium считают, что операторы Cloud9, стремясь нарастить DDoS-потенциал ботнета, атакуют , вне зависимости от их географического расположения и установленных на них операционных систем и браузеров.
[H2]Chrome стабильно популярен[/H2]
Google Chrome по-прежнему остается самым популярным браузером в мире. Согласно данным Statcounter за октябрь 2022 г., именно он используется для выхода на 65,24% устройств. Причем последний хоть сколь-нибудь заметный скачок данного показателя произошел в I квартале 2022 г.: с 62,78% в феврале до 64,53% в марте.
Помимо него, в тройке лидеров – еще один обозреватель на основе Chromium – Microsoft Edge с долей 4,39%.
На втором месте – Safari корпорации Apple с показателем в 19,06%. Четвертая строчка за некогда крайне востребованным Mozilla Firefox – 3,07%.
Наконец, первую пятерку замыкает браузер Samsung Internet – фирменный обозреватель компании, который предустанавлвиается на ее мобильные устройства.
[H2]Chromium-троян под личиной Flash Player[/H2]
Специалисты американской ИБ-компании Zimperium обнаружили вредоносную кампанию по распространению опасного расширения для браузера Chrome под названием Cloud9, пишет Bleeping Computer.
Cloud9 представляет собой троян удаленного доступа (Remote Access Trojan, ). Это тип вредоносного ПО, позволяющего злоумышленнику получить контроль над компьютером жертвы по сети.
Cloud9 упакован в расширение для браузеров на базе Chromium, таких как Google Chrome и Microsoft Edge, и способен выполнять ряд вредоносных операций на компьютере жертвы.
Расширение Cloud9 маскируется под Adobe Flash Player, порой не совсем удачно: в написании названия компании Adobe допущена орфографическая ошибка
Примечательно, что на соответствующее расширение не представлено ни в одном из проверенных Zimperium магазинов, включая Chrome Web Store. Распространяется оно под видом популярных программ через сторонние площадки, чаще всего маскируясь под обновление плеера Adobe Flash Player. При этом компания Adobe окончательно поддержку Flash-технологии еще в конце 2020 г.
[H2]Функциональность[/H2]
Расширение состоит из трех JavaScript-файлов, в которых реализованы функции сбора информации о машине, добычи (майнинга) криптовалюты на стороне пользователя, осуществления DoS-атаки, а также внедрения скриптов, обеспечивающих запуск некоторых эксплойтов.
В Zimperium зафиксировали факт использования троянским расширением экспойтов уязвимостей -2019-11708 и CVE-2019-9810 для ; CVE-2014-6332 и CVE-2016-0189 для Internet Explorer; CVE-2019-7200 для .
Как отмечает , эти уязвимости задействуются для автоматической установки и запуска дополнительного вредоносного ПО на стороне Windows-хоста, тем самым открывая злоумышленникам доступ к еще более широким возможностям манипулирования целевой системой.
Однако ж и без этого необязательного компонента расширение Cloud9 способно похищать Cookie, созданные скомпрометированным браузером, которые позволяют перехватывать валидные пользовательские сессии с последующим присвоением соответствующих учетных записей.
Также троян включает кейлогер, записывающий нажатия клавиш пользователем. С его помощью злоумышленники имеют возможность получить сведения об используемых жертвой паролях и другую конфиденциальную информацию. В дополнение к этому в Cloud9 предусмотрен модуль мониторинга содержимого буфера обмена на предмет появления в нем скопированных пользователем паролей или данных банковских карт.
Cloud9 позволяет своим операторам зарабатывать на рекламе, которую расширение внедряет в посещаемые пользователем .
Наконец, Cloud9 превращает зараженную машину в участника ботнета, который способен осуществлять DDoS-атаки седьмого уровня (прикладной уровень в ) посредством отправки POST-запросов к целевому ресурсу.
[H2]Операторы и цели[/H2]
Злоумышленники, стоящие за Cloud9, связаны с группировкой Keksec, считают в Zimperium. Keksec известна за счет организации ботнетов на основе EnemyBot, Tsunamy, , DarkHTTP, DarkIRC и Necro.
Операторам ботнета Cloud9 все равно, какая рыба попадет в их сети
В Zimperium считают, что операторы Cloud9, стремясь нарастить DDoS-потенциал ботнета, атакуют , вне зависимости от их географического расположения и установленных на них операционных систем и браузеров.
[H2]Chrome стабильно популярен[/H2]
Google Chrome по-прежнему остается самым популярным браузером в мире. Согласно данным Statcounter за октябрь 2022 г., именно он используется для выхода на 65,24% устройств. Причем последний хоть сколь-нибудь заметный скачок данного показателя произошел в I квартале 2022 г.: с 62,78% в феврале до 64,53% в марте.
Помимо него, в тройке лидеров – еще один обозреватель на основе Chromium – Microsoft Edge с долей 4,39%.
На втором месте – Safari корпорации Apple с показателем в 19,06%. Четвертая строчка за некогда крайне востребованным Mozilla Firefox – 3,07%.
Наконец, первую пятерку замыкает браузер Samsung Internet – фирменный обозреватель компании, который предустанавлвиается на ее мобильные устройства.
