惡意插件讓攻擊者可以遠程控制Google Chrome

一個名為“Cloud9”的Chrome瀏覽器僵尸網絡近日被發現在外頭肆虐，它利用惡意插件來竊取在線賬戶、記錄擊鍵內容、注入廣告和惡意JavaScript代碼，并利用受害者的瀏覽器來發動DDoS攻擊。

Cloud9瀏覽器僵尸網絡實際上是一種針對Chromium瀏覽器（包括谷歌Chrome和微軟Edge）的遠程訪問木馬（RAT），讓威脅分子可以遠程執行命令。

這個惡意的Chrome插件未出現在官方的Chrome網站商店中，而是通過其他渠道來傳播，比如推送虛假的Adobe Flash Player更新的網站。

圖1. Chrome上的惡意瀏覽器插件（來源：Zimperium）

這種方法似乎屢試不爽，Zimperium的研究人員近日報告稱，他們已經在全球各地的系統上看到了Cloud9感染。

感染瀏覽器

Cloud9是一個惡意的瀏覽器插件，它給Chromium瀏覽器植入后門，以執行大量的惡意函數和功能。

該插件由三個JavaScript文件組成，這幾個文件用于收集系統信息、使用主機的資源來挖掘加密貨幣、執行DDoS攻擊，以及注入運行瀏覽器漏洞利用代碼的腳本。

Zimperium注意到加載的漏洞利用代碼針對Firefox中的CVE-2019-11708和CVE-2019-9810漏洞、IE中的CVE-2014-6332和CVE-2016-0189以及Edge的CVE-2016-7200漏洞。

這些漏洞被用來在主機上自動安裝和執行Windows惡意軟件，使攻擊者能夠對系統進行更嚴重的破壞。

然而，即使沒有Windows惡意軟件組件，Cloud9插件也可以從被攻擊的瀏覽器竊取cookie，威脅分子進而可以利用這些cookie劫持有效的用戶會話、接管帳戶。

圖2. 瀏覽器cookie竊取器（來源：Zimperium）

此外，該惡意軟件有一個擊鍵記錄器，可以窺視按鍵內容，以竊取密碼及其他敏感信息。

該插件中還有一個“clipper”模塊，不斷監測系統剪貼板，以竊取復制的密碼或信用卡信息。

圖3. Cloud9的clipper組件（來源：Zimperium）

Cloud9還可以通過悄然加載網頁來注入廣告，以提升廣告點擊率，從而為其運營團伙帶來收入。

最后，惡意軟件可以征集主機的計算能力，通過向目標域發送HTTP POST請求來執行第7層DDoS攻擊。

Zimperium表示，第7層攻擊通常很難被檢測到，因為TCP連接看起來與合法請求非常相似。開發者很可能利用這個僵尸網絡來提供執行DDOS的服務。

運營團伙和攻擊目標

據信Cloud9背后的黑客與Keksec惡意軟件團伙有關聯，因為最近這次活動中所用的指揮和控制（C2）域曾出現在Keksec過去的攻擊中。

Keksec負責開發和運營多個僵尸網絡項目，包括EnemyBot、Tsunamy、Gafgyt、DarkHTTP、DarkIRC和Necro。

Cloud9的受害者遍布全球各地，而威脅分子在論壇上發布的截圖表明，他們的目標是各種瀏覽器。

圖4. Cloud9面板的截圖（來源：Zimperium）

此外，在網絡犯罪論壇上大肆推廣宣傳Cloud9的做法讓Zimperium認為Keksec可能將Cloud9出售/出租給其他運營團伙。