一个名为“Cloud9”的Chrome阅读器僵尸收集近日被发如今外头残虐,它操纵歹意插件来窃取在线账户、笔录击键内容、注进告白和歹意Java代码,并操纵受害者的阅读器来策动DDoS进攻。
Cloud9阅读器僵尸收集现实上是一种针对Chromium阅读器(包罗谷歌Chrome和微软Edge)的长途拜候木马(RAT),让威胁分子能够长途施行号令。
那个歹意的Chrome插件未呈现在官方的Chrome网站商铺中,而是通过其他渠道来传布,好比推送虚假的Adobe Flash Player更新的网站。
图1. Chrome上的歹意阅读器插件(来源:Zimperium)
那种办法似乎屡试不爽,Zimperium的研究人员近日陈述称,他们已经在全球各地的系统上看到了Cloud9传染。
传染阅读器
Cloud9是一个歹意的阅读器插件,它给Chromium阅读器植进后门,以施行大量的歹意函数和功用。
该插件由三个Java文件构成,那几个文件用于搜集系统信息、利用主机的资本来发掘加密货币、施行DDoS进攻,以及注进运行阅读器破绽操纵代码的脚本。
那些破绽被用来在主机上主动安拆和施行Windows歹意软件,使进攻者可以对系统停止更严峻的毁坏。
然而,即便没有Windows歹意软件组件,Cloud9插件也能够从被进攻的阅读器窃取cookie,威胁分子进而能够操纵那些cookie劫持有效的用户会话、接收帐户。
图2. 阅读器cookie窃取器(来源:Zimperium)
此外,该歹意软件有一个击键笔录器,能够窥视按键内容,以窃取密码及其他灵敏信息。
该插件中还有一个“clipper”模块,不竭监测系统剪贴板,以窃取复造的密码或信誉卡信息。
图3. Cloud9的clipper组件(来源:Zimperium)
Cloud9还能够通过悄悄加载网页来注进告白,以提拔告白点击率,从而为其运营团伙带来收进。
最初,歹意软件能够征集主机的计算才能,通过向目标域发送进攻。
Zimperium表达,第7层进攻凡是很难被检测到,因为TCP毗连看起来与合法恳求十分类似。开发者很可能操纵那个僵尸收集来供给施行DDOS的办事。
运营团伙和进攻目标
据信Cloud9背后的黑客与Keksec歹意软件团伙有联系关系,因为比来此次活动中所用的批示和掌握(C2)域曾呈现在Keksec过往的进攻中。
Keksec负责开发和运营多个僵尸收集项目,包罗EnemyBot、Tsunamy、Gafgyt、Dark。
Cloud9的受害者遍及全球各地,而威胁分子在论坛上发布的截图表白,他们的目标是各类阅读器。
图4. Cloud9面板的截图(来源:Zimperium)
此外,在收集立功论坛上鼎力大举妥帖鼓吹Cloud9的做法让Zimperium认为Keksec可能将Cloud9出卖/出租给其他运营团伙。
参考及来源:/
文章来源:嘶吼专业版