Un'estensione dannosa consente agli aggressori di controllare da remoto Google Chrome

Les chercheurs de Zimperium ont annoncé aujourd’hui qu’ils ont observé des infections par Cloud9 sur des systèmes du monde entier, ce qui laisse penser que cette technique est efficace.

Infection de votre navigateur

L’extension de navigateur malveillante Cloud9 permet aux navigateurs Chrome d’accéder à un grand nombre de fonctionnalités et de capacités dangereuses.

Trois fichiers JavaScript composent l’extension, qui est utilisée pour miner des bitcoins en utilisant les ressources de l’hôte, lancer des assauts DDoS et insérer des scripts qui déclenchent des exploits de navigateur.

Pour Firefox, CVE-2019-11708 et CVE-2019-9810, Internet Explorer, CVE-2014-6332 et CVE-2016-0189, et Edge, CVE-2016-7200, Zimperium a constaté le chargement d’exploits.

Ces failles permettent l’installation et l’exécution automatiques de malware Windows sur l’hôte, donnant ainsi aux attaquants la possibilité de réaliser des atteintes encore plus graves au système.

L’extension Cloud9, cependant, est toujours capable de voler les cookies d’un navigateur compromis, même sans le composant malware Windows, que les acteurs de la menace peuvent ensuite employer pour détourner des sessions d’utilisateurs légitimes et reprendre le contrôle des comptes.

Le logiciel comprend également un enregistreur de frappe qui peut espionner les pressions sur les touches pour collecter des mots de passe et d’autres données privées.

L’extension comprend également un module “clipper” qui scanne en permanence le presse-papiers du système à la recherche de mots de passe ou de numéros de carte de crédit copiés.

Afin d’augmenter les impressions publicitaires et, par conséquent, les revenus de ses opérateurs, Cloud9 peut également charger subrepticement des pages Web avec des publicités.

Enfin, le virus peut utiliser les ressources de l’hôte pour lancer des attaques DDoS de niveau 7 contre le domaine cible en envoyant des requêtes HTTP POST au domaine.

Selon Zimperium, “les attaques de couche 7 sont généralement très difficiles à détecter car la connexion TCP ressemble beaucoup à des demandes normales.”

“Le botnet est probablement utilisé par le développeur pour offrir un service DDOS”

Opérateurs et cibles

Les domaines C2 utilisés dans la campagne la plus récente ont été précédemment utilisés dans des attaques par le groupe de logiciels malveillants Keksec, ce qui conduit certains à spéculer que les pirates derrière Cloud9 ont des connexions avec ce groupe.

Le développement et l’administration de nombreux programmes de botnet, dont EnemyBot, Tsunamy, Gafgyt, DarkHTTP, DarkIRC et Necro, sont assurés par Keksec.

Les victimes de Cloud9 sont dispersées dans le monde entier, et les captures d’écran publiées sur les forums par l’acteur de la menace montrent qu’elles ciblent différents navigateurs.

De plus, la promotion publique de Cloud9 sur les forums de cybercriminalité conduit Zimperium à penser que Keksec le vend ou le loue probablement à d’autres opérateurs.

Mise à jour du 10/11/2022

En réponse à la menace Cloud9, un responsable de Google a fait la déclaration suivante :

Pour s’assurer qu’ils disposent des mesures de sécurité les plus récentes, nous conseillons toujours à nos clients de mettre à jour la version la plus récente de Google Chrome.

En activant la protection renforcée dans les paramètres de confidentialité et de sécurité de Chrome, les utilisateurs peuvent se protéger davantage contre les exécutables et les sites Web nuisibles.

En plus de vérifier la sécurité de vos téléchargements et de vous avertir lorsqu’un fichier peut être dangereux, la protection renforcée vous informe automatiquement des siti web et des téléchargements potentiellement risqués.