0
0
Uma extensão de navegador maliciosa que funciona no Google Chrome e no Microsoft Edge permite que os invasores assumam remotamente a sessão do navegador de alguém e realizem uma gama completa de ataques. Ele foi desenvolvido para roubar cookies e outras informações, minerar criptomoedas, instalar malware ou assumir o controle de todo o dispositivo para uso em um ataque distribuído de negação de serviço (DDoS) — entre outras coisas.
Graças a essa abordagem multiferramenta, o botnet Cloud9 basicamente age como um Trojan de acesso remoto (RAT) para o navegador Chromium, que é a estrutura para Chrome, Edge e alguns outros navegadores, revelaram pesquisadores do Zimperium zLabs em um post no blog em 8 de novembro. .
O malware é composto por três arquivos JavaScript e está ativo desde 2017, com uma atualização em 2020 que se proliferou como um único JavaScript que pode ser incluído em qualquer site usando tags de script, disseram os pesquisadores.
Os pesquisadores vincularam o Cloud9 ao grupo de malware Keksec devido à atividade de seus servidores de comando e controle (C2s), que apontam para domínios anteriormente usados pela gangue. O grupo de recursos – conhecido por criar vários botnets de aluguel – foi visto em junho como arma de um botnet Linux chamado EnemyBot contra vulnerabilidades em serviços corporativos. No caso do Cloud9, provavelmente está sendo vendido “por algumas centenas de dólares” ou oferecido gratuitamente a outros grupos em vários fóruns de hackers, disseram os pesquisadores.
“Como é bastante trivial de usar e está disponível gratuitamente, pode ser usado por muitos grupos ou indivíduos de malware para fins específicos”, escreveu o analista de malware do Zimperium zLabs, Nipun Gupta, no post.
Usuários corporativos em risco
O malware oferece um verdadeiro bufê de atividades nefastas, “propositadamente projetado para atingir todos os tipos de usuários e serve ao propósito de recuperar informações do usuário”, escreveu Gupta. Isso inclui usuários corporativos, onde o botnet pode ser usado para se infiltrar na máquina de um usuário para propagar outras atividades maliciosas.
Dito isso, “o malware Cloud9 não tem como alvo nenhum grupo específico, o que significa que é tanto uma ameaça corporativa quanto uma ameaça ao consumidor”, escreveu Gupta. “Está bem claro que esse grupo de malware está mirando em todos os navegadores e sistemas operacionais e, assim, tentando aumentar sua superfície de ataque”.
Os principais recursos do Cloud9 incluem: a capacidade de enviar solicitações GET/POST, que podem ser usadas para buscar recursos maliciosos; roubo de cookies para comprometer as sessões do usuário; keylogging para pegar senhas e outras informações; e a capacidade de lançar um ataque híbrido de camada 4/camada 7, que pode ser usado para realizar ataques DDoS das máquinas das vítimas.
O Cloud9 também pode detectar o sistema operacional e/ou navegador de um usuário para fornecer cargas úteis do próximo estágio; injetar anúncios abrindo ‘pop-unders’; executar código JavaScript de outras fontes para entrega de código malicioso adicional; carregar silenciosamente páginas da web para injeção de anúncios ou códigos maliciosos; minerar criptomoedas usando o navegador ou os recursos do dispositivo da vítima; ou envie uma exploração do navegador para injetar código malicioso e assumir o controle total do dispositivo.
Fuga do navegador e um ataque multifacetado
Os pesquisadores analisaram um exemplo de ataque Cloud9 em um navegador Chrome, descrevendo várias etapas que, em última análise, executam uma série de tarefas nefastas – incluindo mineração de criptomoedas da máquina da vítima, roubo de cookies e dados da área de transferência e até mesmo uso de exploits para “escapar” do navegador e executar malware no dispositivo da vítima.
A principal funcionalidade da extensão está disponível em um arquivo chamado campaign.js, JavaScript que também pode ser usado de forma autônoma e, portanto, pode redirecionar as vítimas para um site malicioso que contém o script campaign.js.
O Campaign.js começa identificando o sistema operacional da vítima e, em seguida, injeta um arquivo JavaScript que minera criptomoeda usando os recursos do computador da vítima, diminuindo o desempenho do dispositivo, reduzindo a vida útil do hardware e aumentando o uso de energia – “o que se traduz em um lento, mas constante perda”, observou Gupta.
O Cloud9 então injeta outro script chamado cthulhu.js que contém uma exploração de cadeia completa para duas vulnerabilidades – CVE-2019-11708 e CVE-2019-98100 – que visam o Firefox em um sistema operacional Windows de 64 bits. Após a exploração bem-sucedida, ele lança malware baseado em Windows no dispositivo, permitindo que o agente da ameaça assuma o controle de todo o sistema.
Os pesquisadores também testemunharam o Cloud9 usando outras explorações de navegador para Internet Explorer ( CVE-2014-6332 , CVE-2016-0189 ) e Edge ( CVE-2016-7200 que, se bem-sucedido, dá ao invasor os mesmos direitos de usuário que o usuário atual e pode Além disso, se o usuário estiver conectado com direitos de usuário administrativo, um invasor poderá instalar programas, visualizar, alterar ou excluir dados ou criar novas contas com direitos totais de usuário, disseram os pesquisadores.
O Cloud9 também pode usar sua capacidade de enviar solicitações POST para qualquer domínio para realizar ataques DDoS de camada 7 se o invasor tiver um número significativo de vítimas conectadas como botnets. De fato, fiel à sua reputação, a Keksec provavelmente está vendendo a extensão para fornecer um serviço de botnet para executar DDoS, observou Gupta.
Protegendo a Empresa
Devido aos amplos recursos do Cloud9 e à ampla superfície de ataque que ele pode gerar, os clientes corporativos devem estar alertas, disseram os pesquisadores. De fato, as soluções tradicionais de segurança de endpoint normalmente não monitoram esse tipo de vetor de ataque, o que deixa os navegadores “suscetíveis e vulneráveis”, observou Gupta.
Não está claro como o Cloud9 está sendo espalhado, mas até agora, o Zimperium zLabs não viu evidências da extensão maliciosa na Google Play Store ou em qualquer outra loja de aplicativos móveis legítima. Por esse motivo, as empresas devem treinar os usuários sobre os riscos associados às extensões do navegador que eles encontram fora dos repositórios oficiais, disse ele. Eles também devem considerar quais controles de segurança eles possuem para esses riscos em sua postura de segurança geral.
FONTE: DARK READING