Descubren una nueva botnet contra el navegador Chrome llamada Cloud9

La nueva botnet de Cloud9 está usando extensiones maliciosas para robar cuentas en línea, registrar pulsaciones de teclas, inyectar anuncios, inyectar código JS malicioso y reclutar el navegador de la víctima en ataques DDoS.

La botnet del navegador Cloud9 es un troyano de acceso remoto (RAT) para el navegador web Chromium, incluidos Google Chrome y Microsoft Edge, lo que permite que el grupo de piratas ejecute comandos de forma remota.

La extensión maliciosa de Chrome no está disponible en la tienda web oficial de Chrome; sino que circula a través de canales alternativos, como sitios web que ofrecen actualizaciones falsas de Adobe Flash Player.

Este método parece estar funcionando bien, ya que los investigadores de Zimperium informaron que han visto infecciones de Cloud9 en sistemas de todo el mundo.

Infectando tu navegador

Cloud9 es una extensión de navegador malicioso que utiliza una puerta trasera en los navegadores Chromium para realizar una extensa lista de funciones y capacidades maliciosas.

La extensión consta de tres archivos JavaScript para recopilar información del sistema, extraer criptomonedas utilizando los recursos del host, realizar ataques DDoS e inyectar scripts que ejecutan vulnerabilidades del navegador.

Zimperium notó la carga de exploits para las vulnerabilidades CVE-2019-11708 y CVE-2019-9810 en Firefox, CVE-2014-6332 y CVE-2016-0189 para Internet Explorer y CVE-2016-7200 para Edge.

Estas vulnerabilidades se utilizan para instalar y ejecutar automáticamente malware de Windows en el host, lo que permite a los atacantes realizar ataques comprometidos contra los sistemas.

Además, el malware presenta un registrador de teclas que puede espiar las pulsaciones de tecla para robar contraseñas y otra información confidencial.

Un módulo “clipper” también está presente en la extensión, monitoreando constantemente el portapapeles del sistema en busca de contraseñas o tarjetas de crédito copiadas.

Cloud9 también puede inyectar anuncios cargando silenciosamente páginas web para generar impresiones de anuncios y por lo tanto, ingresos para sus operadores.

Finalmente, el malware puede utilizar la potencia del host para realizar ataques DDoS de capa 7 a través de solicitudes HTTP POST al dominio de destino.

Operadores y objetivos

Se cree que los piratas informáticos detrás de Cloud9 tienen vínculos con el grupo de malware Keksec, porque los dominios C2 utilizados parecen tener relación con ellos.

Keksec es responsable de desarrollar y ejecutar múltiples proyectos de botnet, incluidos EnemyBot, Tsunamy, Gafgyt, DarkHTTP, DarkIRC y Necro.

Las víctimas de Cloud9 están repartidas por todo el mundo y las capturas de pantalla publicadas por un pirata informático en foros de hacking indican que apuntan hacia varios navegadores.

Además, la promoción pública de Cloud9 en los foros de ciberdelincuencia lleva a Zimperium a creer que es probable que Keksec lo venda o alquile a otros operadores.

Artículos Relacionados
Crean la primera cerradura inteligente del mundo compatible con teléfonos inteligentes Samsung

Hace unos años, Samsung lanzó los smartphone equipados con módulos de banda ultraancha (UWB). Esta tecnología tiene muchos usos, por ejemplo Apple la usa en sus etiquetas AirTag. Ahora, la empresa Zigbang presentó, la primera cerradura con tecnología UWB y soporte para smartphones Samsung. ¡SEGUIR LEYENDO!

¿Qué significa AAA? Autentificación, autorización y contabilidad

La autenticación, autorización y contabilidad (AAA) es un sistema para rastrear las actividades de los usuarios en una red basada en IP y controlar su acceso a los recursos de la red. AAA a menudo se implementa como un servidor dedicado. Es un marco ¡SEGUIR LEYENDO!

Los operadores de ransomware establecieron varios “récords” durante 2021

La División de Inteligencia de Amenazas de la empresa de seguridad informática Palo Alto Networks, Unit 42, informo sobre según el cual el segmento de los virus ransomware ha crecido significativamente durante el año anterior. Según Unit 42, un número récord de organizaciones se ¡SEGUIR LEYENDO!

Comparte tu opinión