Incidemment, les pirates Cloud9 peuvent également voler les informations de connexion des systèmes infectés et télécharger des logiciels malveillants supplémentaires si nécessaire.
Des chercheurs en sécurité ont créé un nouveau botnet appelé « Cloud 9” qui est basé sur une extension Chrome. Cela donne aux attaquants un contrôle complet sur les systèmes infectés, ce qui leur permet parfois de voler des comptes d’utilisateurs en masse et de mener des attaques DDoS de couche 7.
Le botnet Cloud9 utilise l’extension Chrome à plusieurs fins
Un nouveau botnet découvert par les chercheurs en sécurité de Zimperium surnommé « Cloud 9” exploite un cheval de Troie d’accès à distance (RAT) sous la forme d’une extension Chrome pour voler les identifiants de connexion, enregistrer les frappes au clavier, injecter des publicités et du code JavaScript malveillant, et exploiter les machines des victimes pour les attaques DDoS. Outre Chrome de Google, d’autres navigateurs Web basés sur Chromium sont également concernés. Cela inclut également le très répandu Edge de Microsoft.
Cependant, l’extension Chrome malveillante n’atteint pas les systèmes des victimes via la boutique en ligne Chrome comme d’habitude. Au lieu de cela, les acteurs derrière Cloud9 utilisent leurs propres sites Web qui diffusent des mises à jour supposées pour Adobe Flash Player. Cependant, au lieu de cette mise à jour, les visiteurs reçoivent l’extension de navigateur malveillante qui permet aux attaquants d’exécuter à distance des commandes sur des systèmes infectés.
Les pirates obtiennent un contrôle complet sur les systèmes infectés
Comme le rapporte BleepingComputer, le noyau de l’extension Chrome se compose de trois fichiers JavaScript. Cela permet parfois aux acteurs de Cloud9 de collecter des informations système, d’exploiter des crypto-monnaies, d’utiliser des ressources système pour des attaques DDoS et de recharger des scripts malveillants. En exploitant spécifiquement les vulnérabilités des navigateurs concernés, les pirates peuvent installer des logiciels malveillants supplémentaires sur le système d’exploitation et ainsi étendre l’étendue de leur contrôle.
Cependant, selon le rapport des chercheurs, l’extension Cloud9 Chrome est intrinsèquement capable de prendre le contrôle des comptes d’utilisateurs en volant des cookies et en utilisant un enregistreur de frappe pour espionner toutes les frappes de ses victimes. Cela inclut souvent des mots de passe et d’autres informations sensibles que le logiciel malveillant peut également lire à partir du presse-papiers du système.
Cloud9 permet les attaques DDoS de couche 7
En plus de cela, l’extension Chrome peut également charger des sites Web contenant des publicités sans être remarquées et mener des attaques DDoS de couche 7. « Les attaques de couche 7 sont généralement très difficiles à détecter car la connexion TCP ressemble beaucoup à des requêtes légitimes » préviennent les chercheurs en sécurité. De plus, on peut supposer que les acteurs Cloud9 offrent un service pour mener des attaques DDoS.
Les chercheurs soupçonnent également que les pirates derrière Cloud9 ont des liens avec le groupe de logiciels malveillants Keksec. Il est responsable du développement et de l’exploitation de plusieurs botnets, dont EnemyBot, Tsunamy, Gafgyt, DarkHTTP, DarkIRC et Necro.
En général, les extensions Chrome sont des outils populaires permettant aux pirates d’abuser des systèmes de leurs utilisateurs à diverses fins. Nous avons signalé de tels cas à plusieurs reprises dans le passé.