Эксперты рассказали об обнаружении браузерного ботнета Cloud9, ориентированного в основном на пользователей Chrome. Ботнет использует вредоносные расширения для кражи аккаунтов, кейлоггинга, внедрения на веб-страницы рекламы и вредоносного JS-кода, а также заставляет браузер жертвы участвовать в DDoS-атаках.
В компании Zimperium рассказывают, что фактически Cloud9 представляет собой троян удаленного доступа (RAT) для Chromium-браузеров (включая Google Chrome и Microsoft Edge) и позволяет своим операторам удаленно выполнять произвольные команды.
Вредоносные расширения Cloud9 распространяются не через официальный Chrome Web Store, а по альтернативным каналам, включая сайты с поддельными обновлениями для Adobe Flash Player.
Само расширение Cloud9 состоит из трех файлов JavaScript, предназначенных для сбора системной информации, майнинга криптовалюты с использованием ресурсов хоста, выполнения DDoS-атак и внедрения скриптов, запускающих браузерные эксплоиты. Так, исследователи заметили загрузку эксплоитов для таких известных уязвимостей, как CVE-2019-11708 и CVE-2019-9810 в Firefox, CVE-2014-6332 и CVE-2016-0189 в Internet Explorer и CVE-2016-7200 в Edge.
Эти уязвимости используются для автоматической установки и запуска Windows-малвари на хосте, что позволяет злоумышленникам проводить еще более серьезные атаки на зараженную систему.
Но даже без этого Cloud9 может похитить файлы cookie из скомпрометированного браузера, которые злоумышленники затем могут использовать для перехвата пользовательских сеансов и захвата учетных записей. Кроме того, малварь оснащается кейлоггером, который способен перехватывать нажатия клавиш с целью кражи паролей и другой конфиденциальной информации.
Также во вредоносном расширении присутствует модуль, который постоянно контролирует буфер обмена в поисках скопированных паролей или данных банковских карт.
Эксперты рассказывают, что помимо перечисленного Cloud9 может автоматически загружать веб-страницы и генерировать с их помощью показы рекламы, таким образом, принося доход своим операторам.
Наконец, вредоносное ПО способно задействовать ресурсы хоста для выполнения DDoS-атак типа L7 (посредством HTTP-запросов POST к целевому домену). Исследователи полагают, что операторы ботнета сдают его в аренду другим преступникам, если те хотят устроить DDoS-атаку.
Считается, что хакеры, стоящие за разработкой Cloud9, связаны с малварью Keksec, поскольку управляющие серверы преступников, использованные в недавней кампании, также фигурировали в прошлых атаках Keksec. Напомню, что эта группировка отвечает за разработку и запуск сразу нескольких ботнетов, включая EnemyBot, Tsunamy, Gafgyt, DarkHTTP, DarkIRC и Necro.
По данным специалистов, жертвы Cloud9 разбросаны по всему миру, и скриншоты, размещенные злоумышленниками на хак-форумах, где они рекламируются, указывают на то, что атаки нацелены на различные браузеры.