Esta extensão do Chrome permite que hackers capturem remotamente seu PC
Extensões maliciosas no Google Chrome estão sendo usadas por hackers remotamente em um esforço para roubar informações confidenciais.
Conforme relatado pelo Bleeping Computer , um novo botnet do navegador Chrome intitulado 'Cloud9' também é capaz de registrar as teclas digitadas, além de distribuir anúncios e códigos maliciosos.
O botnet do navegador opera como um trojan de acesso remoto (RAT) para o navegador da Web Chromium, que inclui o Chrome e o Microsoft Edge. Como tal, não são apenas as credenciais de login que podem ser acessadas; os hackers também podem lançar ataques distribuídos de negação de serviço ( DDoS ).
A extensão do Chrome em questão naturalmente não é acessível através da loja oficial do Google no Chrome, então você pode estar se perguntando como as vítimas estão sendo direcionadas. Sites que existem para espalhar infecções por meio de notificações falsas de atualização do Adobe Flash Player estão sendo usados.
Pesquisadores de segurança da Zimperium confirmaram que as taxas de infecção do Cloud9 foram detectadas em várias regiões do mundo.
A base do Cloud9 são três arquivos JavaScript centrais que podem obter informações do sistema de destino e minerar criptomoedas nesse mesmo PC, além de injetar scripts para iniciar explorações do navegador.
Várias vulnerabilidades estão sendo exploradas, notas do Zimperium, incluindo CVE-2019-11708 e CVE-2019-9810 no Firefox, CVE-2014-6332 e CVE-2016-0189 para Internet Explorer e CVE-2016-7200 para Microsoft Edge.
Embora as vulnerabilidades sejam comumente usadas para instalar malware do Windows, a extensão Cloud9 pode roubar cookies de um navegador, permitindo que hackers assumam sessões válidas de usuários.
Além disso, o malware vem com um keylogger – software que pode essencialmente enviar todas as teclas pressionadas para os invasores. Um módulo “clipper” também foi descoberto na extensão, que permite ao PC acessar senhas ou cartões de crédito copiados.
“Os ataques de camada 7 são geralmente muito difíceis de detectar porque a conexão TCP é muito semelhante a solicitações legítimas”, afirmou Zimperium. “O desenvolvedor provavelmente está usando esta botnet para fornecer um serviço para executar DDOS.”
Outra maneira pela qual os agentes de ameaças por trás do Cloud9 geram ainda mais receita ilícita é injetando anúncios e, em seguida, carregando essas páginas da Web em segundo plano para acumular impressões de anúncios.
Com o Cloud9 sendo detectado em fóruns de crimes cibernéticos, os operadores podem estar vendendo sua extensão maliciosa para as partes interessadas. Com isso em mente, sempre verifique se você está instalando algo em seu navegador de uma fonte não oficial e ative a autenticação de dois fatores sempre que possível.