Actus

Une extension malveillante permet aux attaquants de contrôler Google Chrome à distance

Par hfrance , le 10 novembre 2022 , mis à jour le 10 novembre 2022 - 4 minutes de lecture
Notez l'article

Un tout nouveau botnet de navigateur Chrome “Cloud9” a été repéré dans la nature. Il vole des comptes en ligne, enregistre les frappes au clavier, injecte de la publicité et du code JS malveillant et utilise le navigateur de la victime pour lancer des attaques DDoS.

Avec l’aide du botnet de navigateur Cloud9, un acteur de la menace peut exécuter des commandes à distance sur n’importe quel navigateur Web Chromium, y compris Google Chrome et Microsoft Edge.

Au lieu d’être distribuée par la boutique en ligne officielle de Chrome, l’extension Chrome malveillante se propage par des canaux non officiels, notamment des sites Web qui font la promotion de fausses mises à jour d’Adobe Flash Player.

Malicious browser extension on Chrome
L’extension de navigateur malveillante sur Chrome (Zimperium)

Les chercheurs de Zimperium ont annoncé aujourd’hui qu’ils ont observé des infections par Cloud9 sur des systèmes du monde entier, ce qui laisse penser que cette technique est efficace.

Infection de votre navigateur

L’extension de navigateur malveillante Cloud9 permet aux navigateurs Chrome d’accéder à un grand nombre de fonctionnalités et de capacités dangereuses.

Trois fichiers JavaScript composent l’extension, qui est utilisée pour miner des bitcoins en utilisant les ressources de l’hôte, lancer des assauts DDoS et insérer des scripts qui déclenchent des exploits de navigateur.

Pour Firefox, CVE-2019-11708 et CVE-2019-9810, Internet Explorer, CVE-2014-6332 et CVE-2016-0189, et Edge, CVE-2016-7200, Zimperium a constaté le chargement d’exploits.

Ces failles permettent l’installation et l’exécution automatiques de logiciels malveillants Windows sur l’hôte, donnant ainsi aux attaquants la possibilité de réaliser des atteintes encore plus graves au système.

L’extension Cloud9, cependant, est toujours capable de voler les cookies d’un navigateur compromis, même sans le composant malware Windows, que les acteurs de la menace peuvent ensuite employer pour détourner des sessions d’utilisateurs légitimes et reprendre le contrôle des comptes.

The browser cookie stealer
Le voleur de cookies du navigateur (Zimperium)

Le logiciel comprend également un enregistreur de frappe qui peut espionner les pressions sur les touches pour collecter des mots de passe et d’autres données privées.

L’extension comprend également un module “clipper” qui scanne en permanence le presse-papiers du système à la recherche de mots de passe ou de numéros de carte de crédit copiés.

Cloud9's clipper component
Le composant clipper de Cloud9 (Zimperium)

Afin d’augmenter les impressions publicitaires et, par conséquent, les revenus de ses opérateurs, Cloud9 peut également charger subrepticement des pages Web avec des publicités.

Enfin, le virus peut utiliser les ressources de l’hôte pour lancer des attaques DDoS de niveau 7 contre le domaine cible en envoyant des requêtes HTTP POST au domaine.

Selon Zimperium, “les attaques de couche 7 sont généralement très difficiles à détecter car la connexion TCP ressemble beaucoup à des demandes normales.”

“Le botnet est probablement utilisé par le développeur pour offrir un service DDOS”

Opérateurs et cibles

Les domaines C2 utilisés dans la campagne la plus récente ont été précédemment utilisés dans des attaques par le groupe de logiciels malveillants Keksec, ce qui conduit certains à spéculer que les pirates derrière Cloud9 ont des connexions avec ce groupe.

Le développement et l’administration de nombreux programmes de botnet, dont EnemyBot, Tsunamy, Gafgyt, DarkHTTP, DarkIRC et Necro, sont assurés par Keksec.

Les victimes de Cloud9 sont dispersées dans le monde entier, et les captures d’écran publiées sur les forums par l’acteur de la menace montrent qu’elles ciblent différents navigateurs.

Screenshot of Cloud9 panel
Capture d’écran du panneau Cloud9 (Zimperium)

De plus, la promotion publique de Cloud9 sur les forums de cybercriminalité conduit Zimperium à penser que Keksec le vend ou le loue probablement à d’autres opérateurs.

Mise à jour du 10/11/2022

En réponse à la menace Cloud9, un responsable de Google a fait la déclaration suivante :

Pour s’assurer qu’ils disposent des mesures de sécurité les plus récentes, nous conseillons toujours à nos clients de mettre à jour la version la plus récente de Google Chrome.

En activant la protection renforcée dans les paramètres de confidentialité et de sécurité de Chrome, les utilisateurs peuvent se protéger davantage contre les exécutables et les sites Web nuisibles.

En plus de vérifier la sécurité de vos téléchargements et de vous avertir lorsqu’un fichier peut être dangereux, la protection renforcée vous informe automatiquement des sites web et des téléchargements potentiellement risqués.

  • Ajax System Relais de contrôle à distance AJAX 3KW AJ-WALLSWITCH-B
    Relais de contrôle à distance AJAX WALLSWITCH, vous permet de contrôler à distance les appareils. Peut être utilisé pour activer/désactiver d'un fer et d'une planche à repasser, portes de garage, chaudières et systèmes de chauffage pour les planchers.
  • Teddington Console digitale Wellness multifonction à distance
    Voici notre collection d'outil pour commander à distance son générateur de vapeur pour hammam, console digitale, régulateur, console tactile. Il vous permet de piloter ou de contrôler votre hammam à distance. La commande digitale et tactile doivent fonction avec le régulateur REF LS REG-2
  • StarTech.com Switch KVM DisplayPort 2 Ports- 4K 60 Hz - Commutateur KVM USB DP 1.2 UHD avec Câbles 1,2 m Integrés & Audio - Alimenté par Bus - Commutation à Distance 1,5 m avec Bouton (SV211DPUA4K) - commutateur écran-clavier-souris/audio - 2 ports
    DESIGN PEU ENCOMBRANT : le Switch KVM Displayport 2 Ports avec câbles intégrés et commutation à distance permet de contrôler deux ordinateurs alimentés par USB à partir d'un seul clavier, d'un écran et d'une souris.QUALITÉ VIDÉO 4K : le commutateur KVM DP UHD supporte des résolutions jusqu'à 4k à 60 Hz sur un seul moniteur DisplayPort pour maximiser l'espace de vision.SPÉCIFICATIONS TECHNIQUES : KVM double portDisplayPort 1.24K 60 Hz 3840 x 2160Touche raccourci, bouton-poussoir à distance intégré, logiciel Grâce au câble commutateur KVM à 2 ports DisplayPort 4K 60 Hz SV211DPUA4K avec contrôle de commutation audio et à distance, vous pouvez contrôler deux ordinateurs DisplayPort équipés d''un port USB avec un seul écran, un clavier, une souris et un jeu de périphériques audio.<br/><br/>Prise en charge complète audio et images 4K60<br/><br/>Le commutateur KVM DisplayPort prend en charge des résolutions jusqu''à 4K à 60 Hz et peut facilement gérer un grand écran DP pour une zone d''affichage maximale.<br/>Avec la prise en charge d''un son stéréo 3,5 mm séparé, le commutateur KVM offre une compatibilité audio complète entre les ordinateurs connectés.<br/><br/>Indépendant du système d''exploitation<br/><br/>Bien qu''il prenne en charge la plupart des systèmes d''exploitation, ce commutateur KVM DP est indépendant du système d''exploitation, ce qui signifie qu''il fonctionne avec les ordinateurs Mac (un adaptateur peut être nécessaire) et tous les autres ordinateurs portables ou tablettes.<br/><br/>Facile à utiliser<br/><br/>Le commutateur comprend un bouton-poussoir à distance sur un câble intégré de 1,5 mètre qui peut être placé à un endroit facilement accessible, ainsi que des raccourcis clavier et un logiciel compatible PC ou Mac facilitant le passage d''un système à l''autre.<br/><br/>Commutateurs et consoles KVM StarTech.com<br/><br/>StarTech.com offre un large choix de commutateurs KVM et de produits pour KVM haute qualité, afin de vous aider à accéder à vos systèmes plus efficacement, sans les dépenses et l''encombrement d''un clavier, d''une souris et d''un écran supplémentaires.<br/>Ce commutateur KVM USB bénéficie d''une garantie de 2 ans et de l''assistance technique à vie gratuite.<br/><br/>Le modèle SV211DPUA4K bénéficie de la garantie StarTech.com de 2 ans et de l''assistance technique multilingue à vie gratuite. - Offre exclusivement réservée aux professionnels

hfrance

Administrateur réseau dans un grand groupe, je partage mes connaissances sur Hfrance pour aider mes confrères et mes consoeurs.