黑客正在远程使用 Google Chrome 上的恶意扩展程序来窃取敏感信息。
据 Bleeping Computer 报道,一个名为“Cloud9”的新 Chrome 浏览器僵尸网络也能够记录击键,以及分发广告和恶意代码。
浏览器僵尸网络作为 Chromium Web 浏览器的远程访问木马(RAT) 运行,其中包括 Chrome 和 Microsoft Edge。因此,可以访问的不仅仅是登录凭据;黑客还可以发起分布式拒绝服务 ( DDoS ) 攻击。
有问题的 Chrome 扩展程序自然无法通过 Google 的官方 Chrome 网上商店访问,因此您可能想知道受害者是如何成为目标的。正在使用通过伪造的 Adobe Flash Player 更新通知传播感染的网站。
Zimperium 的安全研究人员已证实,已在全球多个地区检测到 Cloud9 感染率。
Cloud9 的基础是三个中央 JavaScript 文件,它们可以获取目标系统的信息,并在同一台 PC 上挖掘加密货币,此外还可以注入脚本以启动浏览器漏洞。
Zimperium 指出,多个漏洞正在被利用,包括 Firefox 中的 CVE-2019-11708 和 CVE-2019-9810,Internet Explorer 中的 CVE-2014-6332 和 CVE-2016-0189,以及 Microsoft Edge 中的 CVE-2016-7200。
尽管这些漏洞通常用于安装 Windows 恶意软件,但 Cloud9 扩展可以从浏览器中窃取 cookie,从而允许黑客接管有效的用户会话。
此外,该恶意软件带有一个键盘记录器——该软件基本上可以将你所有的按键发送给攻击者。在扩展中还发现了一个“剪辑器”模块,它允许 PC 访问复制的密码或信用卡。
“第 7 层攻击通常很难检测到,因为 TCP 连接看起来与合法请求非常相似,”Zimperium 说。 “开发人员很可能会使用这个僵尸网络来提供执行 DDOS 的服务。”
Cloud9 背后的威胁行为者产生更多非法收入的另一种方式是注入广告,然后在后台加载这些网页以增加广告印象。
随着 Cloud9 在网络犯罪论坛上被发现,运营商可能会将其恶意扩展程序出售给相关方。考虑到这一点,请务必仔细检查您是否从非官方来源在浏览器上安装任何内容,并在可能的情况下启用双因素身份验证。