Это расширение Chrome позволяет хакерам удаленно захватить ваш компьютер

Дядя Влад

Вредоносные расширения в Google Chrome используются хакерами удаленно для кражи конфиденциальной информации.

Как сообщает Bleeping Computer , новый ботнет для браузера Chrome под названием Cloud9 также способен регистрировать нажатия клавиш, а также распространять рекламу и вредоносный код.

Изображение хакера, взломавшего систему с помощью кода.

Браузерный ботнет работает как троян удаленного доступа (RAT) для веб-браузера Chromium, в который входят как Chrome, так и Microsoft Edge. Таким образом, можно получить доступ не только к учетным данным для входа; хакеры также могут запускать распределенные атаки типа «отказ в обслуживании» ( DDoS ).

Рассматриваемое расширение Chrome, естественно, недоступно через официальный интернет-магазин Google Chrome, поэтому вам может быть интересно, как жертвы преследуются. Вместо этого используются веб-сайты, которые существуют для распространения инфекций через поддельные уведомления об обновлениях Adobe Flash Player.

Исследователи безопасности Zimperium подтвердили, что уровни заражения Cloud9 были обнаружены в нескольких регионах по всему миру.

Основой Cloud9 являются три центральных файла JavaScript, которые могут получать информацию о целевой системе и майнить криптовалюту на том же ПК в дополнение к внедрению скриптов для запуска эксплойтов браузера.

Zimperium отмечает, что эксплуатируются многочисленные уязвимости, в том числе CVE-2019-11708 и CVE-2019-9810 в Firefox, CVE-2014-6332 и CVE-2016-0189 для Internet Explorer и CVE-2016-7200 для Microsoft Edge.

Хотя уязвимости обычно используются для установки вредоносного ПО для Windows, расширение Cloud9 может украсть файлы cookie из браузера, позволяя хакерам перехватывать действительные сеансы пользователей.

Кроме того, вредоносное ПО поставляется с кейлоггером — программным обеспечением, которое, по сути, может отправлять злоумышленникам все нажатия клавиш. Также в расширении был обнаружен модуль «клипер», который позволяет ПК получать доступ к скопированным паролям или кредитным картам.

«Атаки уровня 7 обычно очень трудно обнаружить, потому что TCP-соединение очень похоже на законные запросы», — заявил Zimperium. «Разработчик, вероятно, использует этот ботнет для предоставления услуги по выполнению DDOS».

Другой способ, с помощью которого злоумышленники, стоящие за Cloud9, получают еще больший незаконный доход, заключается в внедрении рекламы и последующей загрузке этих веб-страниц в фоновом режиме для накопления рекламных показов.

Поскольку Cloud9 замечен на форумах по киберпреступности, операторы могут продавать свое вредоносное расширение заинтересованным сторонам. Имея это в виду, всегда дважды проверяйте, не устанавливаете ли вы что-либо в свой браузер из неофициального источника, и по возможности включите двухфакторную аутентификацию.