‘Cloud9’ adlı yeni bir Chrome tarayıcı botnet, çevrimiçi hesapları çalmak, tuş vuruşlarını kaydetmek, reklamları ve kötü amaçlı JS kodunu enjekte etmek ve kurbanın tarayıcısını DDoS saldırılarına dahil etmek için kötü amaçlı uzantılar kullanan vahşi doğada keşfedildi.
Cloud9 tarayıcı botnet, Google Chrome ve Microsoft Edge dahil olmak üzere Chromium web tarayıcısı için etkili bir uzaktan erişim truva atıdır (RAT), tehdit aktörünün komutları uzaktan yürütmesine olanak tanır.
Kötü amaçlı Chrome uzantısı, resmi Chrome web mağazasında mevcut değildir, bunun yerine sahte Adobe Flash Player güncellemelerini zorlayan web siteleri gibi alternatif kanallar aracılığıyla dağıtılır.
Zimperium’daki araştırmacılar bugün dünya genelindeki sistemlerde Cloud9 enfeksiyonları gördüklerini bildirdikleri için bu yöntem iyi çalışıyor gibi görünüyor.
Tarayıcınıza bulaşma
Cloud9, kapsamlı bir kötü amaçlı işlevler ve yetenekler listesi gerçekleştirmek için Chromium tarayıcılarına arka kapı açan kötü amaçlı bir tarayıcı uzantısıdır.
Uzantı, sistem bilgilerini toplamak, ana bilgisayarın kaynaklarını kullanarak kripto para madenciliği yapmak, DDoS saldırıları gerçekleştirmek ve tarayıcı açıklarını çalıştıran komut dosyalarını enjekte etmek için üç JavaScript dosyasından oluşur.
Zimperium, Firefox’ta CVE-2019-11708 ve CVE-2019-9810 güvenlik açıklarına yönelik açıkların yüklendiğini fark etti, Internet Explorer için CVE-2014-6332 ve CVE-2016-0189 ve Edge için CVE-2016-7200.
Bu güvenlik açıkları, Windows kötü amaçlı yazılımlarını ana bilgisayara otomatik olarak yüklemek ve yürütmek için kullanılır ve böylece saldırganların daha da önemli sistem güvenlik ihlalleri gerçekleştirmesini sağlar.
Ancak, Windows kötü amaçlı yazılım bileşeni olmasa bile, Cloud9 uzantısı, tehdit aktörlerinin geçerli kullanıcı oturumlarını ele geçirmek ve hesapları ele geçirmek için kullanabileceği, güvenliği ihlal edilmiş tarayıcıdan çerezleri çalabilir.
Ek olarak, kötü amaçlı yazılım, şifreleri ve diğer hassas bilgileri çalmak için tuşlara basıldığında gözetleme yapabilen bir keylogger’a sahiptir.
Uzantıda, kopyalanan şifreler veya kredi kartları için sistem panosunu sürekli olarak izleyen bir “kesme” modülü de bulunur.
Cloud9, reklam gösterimleri ve dolayısıyla operatörleri için gelir oluşturmak için web sayfalarını sessizce yükleyerek reklamları da enjekte edebilir.
Son olarak, kötü amaçlı yazılım, hedef etki alanına HTTP POST istekleri aracılığıyla katman 7 DDoS saldırıları gerçekleştirmek için ana bilgisayarın ateş gücünü kullanabilir.
“Katman 7 saldırılarını tespit etmek genellikle çok zordur çünkü TCP bağlantısı meşru isteklere çok benzer.” yorumlar Zimperyum.
“Geliştirici büyük olasılıkla bu botnet’i DDOS gerçekleştirecek bir hizmet sağlamak için kullanıyor.”
Operatörler ve hedefler
Cloud9’un arkasındaki bilgisayar korsanlarının Keksec kötü amaçlı yazılım grubuyla bağları olduğuna inanılıyor çünkü son kampanyada kullanılan C2 etki alanları Keksec’in geçmiş saldırılarında görüldü.
Keksec, aşağıdakiler de dahil olmak üzere birden fazla botnet projesinin geliştirilmesinden ve yürütülmesinden sorumludur: Düşman BotuTsunamy, Gafgyt, DarkHTTP, DarkIRC ve Necro.
Cloud9 kurbanları dünya çapında yayılıyor ve tehdit aktörü tarafından forumlarda yayınlanan ekran görüntüleri, çeşitli tarayıcıları hedeflediklerini gösteriyor.
Ayrıca, Cloud9’un siber suç forumlarında halka tanıtılması, Zimperium’un Keksec’in muhtemelen onu diğer operatörlere sattığına/kiraladığına inanmasına neden oluyor.
11/9 güncellemesi – Bir Google sözcüsü, BleepingComputer’a şu yorumu yaptı:
En güncel güvenlik korumalarına sahip olduklarından emin olmak için kullanıcıların her zaman Google Chrome’u en son sürümüne güncellemelerini öneririz.
Kullanıcılar ayrıca etkinleştirerek kötü amaçlı yürütülebilir dosyalardan ve web sitelerinden daha iyi korunabilirler. Gelişmiş Koruma Chrome’daki gizlilik ve güvenlik ayarlarında.
Gelişmiş Koruma, potansiyel olarak riskli siteler ve indirmeler hakkında sizi otomatik olarak uyarır ve indirmelerinizin güvenliğini denetler ve bir dosyanın tehlikeli olabileceği durumlarda sizi uyarır.