La nueva botnet de Cloud9 está usando extensiones maliciosas para robar cuentas en línea, registrar pulsaciones de teclas, inyectar anuncios, inyectar código JS malicioso y reclutar el navegador de la víctima en ataques DDoS.
La botnet del navegador Cloud9 es un troyano de acceso remoto (RAT) para el navegador web Chromium, incluidos Google Chrome y Microsoft Edge, lo que permite que el grupo de piratas ejecute comandos de forma remota.
La extensión maliciosa de Chrome no está disponible en la tienda web oficial de Chrome; sino que circula a través de canales alternativos, como sitios web que ofrecen actualizaciones falsas de Adobe Flash Player.
Este método parece estar funcionando bien, ya que los investigadores de Zimperium informaron que han visto infecciones de Cloud9 en sistemas de todo el mundo.
Infectando tu navegador
Cloud9 es una extensión de navegador malicioso que utiliza una puerta trasera en los navegadores Chromium para realizar una extensa lista de funciones y capacidades maliciosas.
La extensión consta de tres archivos JavaScript para recopilar información del sistema, extraer criptomonedas utilizando los recursos del host, realizar ataques DDoS e inyectar scripts que ejecutan vulnerabilidades del navegador.
Zimperium notó la carga de exploits para las vulnerabilidades CVE-2019-11708 y CVE-2019-9810 en Firefox, CVE-2014-6332 y CVE-2016-0189 para Internet Explorer y CVE-2016-7200 para Edge.
Estas vulnerabilidades se utilizan para instalar y ejecutar automáticamente malware de Windows en el host, lo que permite a los atacantes realizar ataques comprometidos contra los sistemas.
Además, el malware presenta un registrador de teclas que puede espiar las pulsaciones de tecla para robar contraseñas y otra información confidencial.
Un módulo “clipper” también está presente en la extensión, monitoreando constantemente el portapapeles del sistema en busca de contraseñas o tarjetas de crédito copiadas.
Cloud9 también puede inyectar anuncios cargando silenciosamente páginas web para generar impresiones de anuncios y por lo tanto, ingresos para sus operadores.
Finalmente, el malware puede utilizar la potencia del host para realizar ataques DDoS de capa 7 a través de solicitudes HTTP POST al dominio de destino.
Operadores y objetivos
Se cree que los piratas informáticos detrás de Cloud9 tienen vínculos con el grupo de malware Keksec, porque los dominios C2 utilizados parecen tener relación con ellos.
Keksec es responsable de desarrollar y ejecutar múltiples proyectos de botnet, incluidos EnemyBot, Tsunamy, Gafgyt, DarkHTTP, DarkIRC y Necro.
Las víctimas de Cloud9 están repartidas por todo el mundo y las capturas de pantalla publicadas por un pirata informático en foros de hacking indican que apuntan hacia varios navegadores.
Además, la promoción pública de Cloud9 en los foros de ciberdelincuencia lleva a Zimperium a creer que es probable que Keksec lo venda o alquile a otros operadores.