È stata scoperta un’estensione dannosa del browser Chrome denominata “Cloud9” che utilizza estensioni dannose per rubare account, registrare sequenze di tasti, e inserire annunci e codici JS dannosi. È in grado inoltre di assoldare il browser infetto in attacchi DDoS, senza che l’utente ne sia consapevole.
Una botnet in grado di attacchi DDos di 7 livello
Si tratta infatti di una botnet, ovvero una rete di computer infettati da un software dannoso in modo da poter essere controllati in remoto. I computer vengono forzati a inviare spam, diffondere virus o lanciare attacchi DDoS senza che i veri proprietari dei computer ne siano consapevoli, ed è proprio questo il caso dell’estensione dannosa Cloud9.
La botnet Cloud9 è effettivamente un trojan di accesso remoto (RAT) per il browser Web Chromium, che coinvolge dunque sia Google Chrome che Microsoft Edge, consentendo all’autore delle minacce di eseguire comandi in remoto.
L’estensione dannosa di Chrome non è disponibile sul web store ufficiale di Chrome, ma viene invece diffusa attraverso canali alternativi, come i siti Web che inviano falsi aggiornamenti di Adobe Flash Player. Sembra che sia riuscita a provocare diverse sui sistemi di tutto il mondo.
Tutti i pericoli nascosti dietro questa estensione dannosa
Si tratta di un’estensione dannosa del browser che esegue il backdoor dei browser Chromium per eseguire un elenco completo di funzioni dannose. L’estensione è composta da tre file JavaScript per la raccolta di informazioni di sistema, il mining di criptovaluta utilizzando le risorse dell’host, l’esecuzione di attacchi DDoS e l’inserimento di script che eseguono exploit del browser.
La società di sicurezza mobile privata, Zimperium, una piattaforma di sicurezza mobile creata appositamente per gli ambienti aziendali, ha notato il caricamento di exploit per le vulnerabilità CVE-2019-11708 e CVE-2019-9810 di Firefox, CVE-2014-6332 e CVE-2016-0189 per Internet Explorer e CVE-2016-7200 per Edge.
Queste vulnerabilità vengono utilizzate per installare ed eseguire automaticamente il malware Windows sull’host, consentendo agli aggressori di eseguire compromissioni del sistema ancora più significative. In comunque dei casi, anche senza il componente malware di Windows, l’estensione Cloud9 può rubare i cookie dal browser compromesso, che possono essere utilizzati per dirottare sessioni utente valide e prendere il controllo degli account. Inoltre, il malware è dotato di un keylogger in grado di spiare la pressione dei tasti per rubare password e altre informazioni sensibili.
Nell’interno di questa estensione dannosa è presente anche un modulo “clipper”, che monitora costantemente gli appunti di sistema per password o carte di credito. Infine, il malware può sfruttare l’host per eseguire attacchi DDoS di livello 7 tramite richieste HTTP POST al dominio di destinazione.
Aggiornare Chrome per difendersi da eventuali rischi
Secondo le prime indiscrezioni, l’estensione dannosa Cloud9 ha infettato browser in tutto il mondo e sembra che abbia preso di mira vari browser.
Per una maggiore sicurezza, portavoce di Google consigliano ai loro utenti di aggiornare sempre all’ultima versione di Google Chrome per essere sicuri di avere le protezioni di sicurezza più aggiornate. Una maggiore protezione su Chrome da eseguibili e siti Web dannosi è fornita anche dalla la protezione avanzata, attivabile nelle impostazioni di privacy e sicurezza di Chrome. Si tratta di una nuova funzionalità che avverte automaticamente di siti e download potenzialmente rischiosi, controlla la sicurezza dei tuoi download e ti avverte quando un file potrebbe essere pericoloso.
Foto di WikimediaImages da Pixabay
Foto di Pete Linforth da Pixabay
