Спецпроекты

Безопасность Пользователю Интернет Интернет-ПО

Хакеры полностью захватывают ПК, используя как приманку давно мертвый Adobe Flash

По Сети распространяется опасный троян под названием Cloud9, упакованный в расширение для браузера Google Chrome, причем под видом некогда популярного Adobe Flash Player. Вредонос способен превратить компьютер жертвы в «зомби», который вопреки воле пользователя добывает криптовалюту, атакует интернет-ресурсы, а также ворует пароли и данные банковских карт.

Chromium-троян под личиной Flash Player

Специалисты американской ИБ-компании Zimperium обнаружили вредоносную кампанию по распространению опасного расширения для браузера Chrome под названием Cloud9, пишет Bleeping Computer.

Cloud9 представляет собой троян удаленного доступа (Remote Access Trojan, RAT). Это тип вредоносного ПО, позволяющего злоумышленнику получить контроль над компьютером жертвы по сети.

Cloud9 упакован в расширение для браузеров на базе Chromium, таких как Google Chrome и Microsoft Edge, и способен выполнять ряд вредоносных операций на компьютере жертвы.

Расширение Cloud9 маскируется под Adobe Flash Player, порой не совсем удачно: в написании названия компании Adobe допущена орфографическая ошибка

Примечательно, что на соответствующее расширение не представлено ни в одном из проверенных Zimperium магазинов, включая Chrome Web Store. Распространяется оно под видом популярных программ через сторонние площадки, чаще всего маскируясь под обновление плеера Adobe Flash Player. При этом компания Adobe окончательно прекратила поддержку Flash-технологии еще в конце 2020 г.

Функциональность

Расширение состоит из трех JavaScript-файлов, в которых реализованы функции сбора информации о машине, добычи (майнинга) криптовалюты на стороне пользователя, осуществления DoS-атаки, а также внедрения скриптов, обеспечивающих запуск некоторых эксплойтов.

В Zimperium зафиксировали факт использования троянским расширением экспойтов уязвимостей CVE-2019-11708 и CVE-2019-9810 для Firefox; CVE-2014-6332 и CVE-2016-0189 для Internet Explorer; CVE-2019-7200 для Edge.

Как отмечает Bleeping Computer, эти уязвимости задействуются для автоматической установки и запуска дополнительного вредоносного ПО на стороне Windows-хоста, тем самым открывая злоумышленникам доступ к еще более широким возможностям манипулирования целевой системой.

Однако ж и без этого необязательного компонента расширение Cloud9 способно похищать Cookie, созданные скомпрометированным браузером, которые позволяют перехватывать валидные пользовательские сессии с последующим присвоением соответствующих учетных записей.

Также троян включает кейлогер, записывающий нажатия клавиш пользователем. С его помощью злоумышленники имеют возможность получить сведения об используемых жертвой паролях и другую конфиденциальную информацию. В дополнение к этому в Cloud9 предусмотрен модуль мониторинга содержимого буфера обмена на предмет появления в нем скопированных пользователем паролей или данных банковских карт.

Cloud9 позволяет своим операторам зарабатывать на рекламе, которую расширение внедряет в посещаемые пользователем сайты.

Наконец, Cloud9 превращает зараженную машину в участника ботнета, который способен осуществлять DDoS-атаки седьмого уровня (прикладной уровень в модели OSI) посредством отправки POST-запросов к целевому ресурсу.

Операторы и цели

Злоумышленники, стоящие за Cloud9, связаны с группировкой Keksec, считают в Zimperium. Keksec известна за счет организации ботнетов на основе EnemyBot, Tsunamy, Gafgyt, DarkHTTP, DarkIRC и Necro.

Операторам ботнета Cloud9 все равно, какая рыба попадет в их сети

В Zimperium считают, что операторы Cloud9, стремясь нарастить DDoS-потенциал ботнета, атакуют компьютеры, вне зависимости от их географического расположения и установленных на них операционных систем и браузеров.

Chrome стабильно популярен

Google Chrome по-прежнему остается самым популярным браузером в мире. Согласно данным Statcounter за октябрь 2022 г., именно он используется для выхода в Сеть на 65,24% устройств. Причем последний хоть сколь-нибудь заметный скачок данного показателя произошел в I квартале 2022 г.: с 62,78% в феврале до 64,53% в марте.

Поимо него, в тройке лидеров – еще один обозреватель на основе ChromiumMicrosoft Edge с долей 4,39%.

На втором месте – Safari корпорации Apple с показателем в 19,06%. Четвертая строчка за некогда крайне востребованным Mozilla Firefox – 3,07%.

Наконец, первую пятерку замыкает браузер Samsung Internet – фирменный обозреватель южнокорейской компании, который предустанавлвиается на ее мобильные устройства.

Дмитрий Степанов

Короткая ссылка