Descubren una nueva botnet contra el navegador Chrome llamada Cloud9

Noticias sobre ciberseguridad, hackeos, hacking y malware
Noticias sobre ciberseguridad, hackeos, hacking y malware

La nueva botnet de Cloud9 está usando extensiones maliciosas para robar cuentas en línea, registrar pulsaciones de teclas, inyectar anuncios, inyectar código JS malicioso y reclutar el navegador de la víctima en ataques DDoS.

La botnet del navegador Cloud9 es un troyano de acceso remoto (RAT) para el navegador web Chromium, incluidos Google Chrome y Microsoft Edge, lo que permite que el grupo de piratas ejecute comandos de forma remota.

La extensión maliciosa de Chrome no está disponible en la tienda web oficial de Chrome; sino que circula a través de canales alternativos, como sitios web que ofrecen actualizaciones falsas de Adobe Flash Player.

Este método parece estar funcionando bien, ya que los investigadores de Zimperium informaron que han visto infecciones de Cloud9 en sistemas de todo el mundo.

Infectando tu navegador

Cloud9 es una extensión de navegador malicioso que utiliza una puerta trasera en los navegadores Chromium para realizar una extensa lista de funciones y capacidades maliciosas.

La extensión consta de tres archivos JavaScript para recopilar información del sistema, extraer criptomonedas utilizando los recursos del host, realizar ataques DDoS e inyectar scripts que ejecutan vulnerabilidades del navegador.

Zimperium notó la carga de exploits para las vulnerabilidades CVE-2019-11708 y CVE-2019-9810 en Firefox, CVE-2014-6332 y CVE-2016-0189 para Internet Explorer y CVE-2016-7200 para Edge.

Estas vulnerabilidades se utilizan para instalar y ejecutar automáticamente malware de Windows en el host, lo que permite a los atacantes realizar ataques comprometidos contra los sistemas.

Además, el malware presenta un registrador de teclas que puede espiar las pulsaciones de tecla para robar contraseñas y otra información confidencial.

Un módulo “clipper” también está presente en la extensión, monitoreando constantemente el portapapeles del sistema en busca de contraseñas o tarjetas de crédito copiadas.

Cloud9 también puede inyectar anuncios cargando silenciosamente páginas web para generar impresiones de anuncios y por lo tanto, ingresos para sus operadores.

Finalmente, el malware puede utilizar la potencia del host para realizar ataques DDoS de capa 7 a través de solicitudes HTTP POST al dominio de destino.

Operadores y objetivos

Se cree que los piratas informáticos detrás de Cloud9 tienen vínculos con el grupo de malware Keksec, porque los dominios C2 utilizados parecen tener relación con ellos.

Keksec es responsable de desarrollar y ejecutar múltiples proyectos de botnet, incluidos EnemyBot, Tsunamy, Gafgyt, DarkHTTP, DarkIRC y Necro.

Las víctimas de Cloud9 están repartidas por todo el mundo y las capturas de pantalla publicadas por un pirata informático en foros de hacking indican que apuntan hacia varios navegadores.

Además, la promoción pública de Cloud9 en los foros de ciberdelincuencia lleva a Zimperium a creer que es probable que Keksec lo venda o alquile a otros operadores.

Relacionado

LemonDuck: El nuevo malware del que Microsoft da alerta

Un infame malware de minería de cifrado multiplataforma ha seguido perfeccionando y mejorando sus técnicas para atacar los sistemas operativos Windows y Linux en sus vulnerabilidades más antiguas. Mientras tanto, simultáneamente se aferra a una variedad de mecanismos de propagación para maximizar la efectividad de sus ¡SEGUIR LEYENDO!

Actualizado el Malware RapperBot que ahora hacía los servidores de juegos provocando ataques DDoS

La botnet RapperBot basada en Mirai ha resurgido a través de una nueva campaña que infecta los dispositivos IoT y se encarga de generar ataques DDoS (Distributed Denial of Service) contra servidores de juegos. El malware fue descubierto por investigadores de Fortinet en Agosto, cuando utilizó ¡SEGUIR LEYENDO!

¿Qué son los bots buenos?, Cómo se diferencian de los bots malos

Los bots pueden ayudar con tareas simples o automatizar la atención al cliente, pero también pueden eliminar spam o noticias falsas. Si hay algo sobre lo que todo el mundo en línea tiene una opinión, son los bots. Están en todas partes, dándote la bienvenida y ¡SEGUIR LEYENDO!

¿Qué son los bots de redes sociales? Explicación, cuentas maliciosas y cómo detectarlas

El término "bot de redes sociales" ya no se asocia solo con los chatbots o la IA de servicio al cliente. Más bien, los bots de las redes sociales tienen una reputación mucho peor a día de hoy, debido a las campañas maliciosas de desinformación. Pero, ¡SEGUIR LEYENDO!

Piratas Informáticos Chinos NO consiguen Reconstruir Botnet luego del Desmantelamiento del FBI

Los piratas informáticos estatales chinos Volt Typhoon no lograron reactivar una botnet recientemente eliminada por el FBI, que se utilizó anteriormente en ataques dirigidos a infraestructuras críticas en todo Estados Unidos. Antes de la eliminación de la botnet KV, permitía al grupo de amenazas Volt Typhoon ¡SEGUIR LEYENDO!

Comentarios

No hay comentarios aún. ¿Por qué no comienzas el debate?

    Deja una respuesta

    Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *