Esta extensión maliciosa permite a ciberdelincuentes controlar Google Chrome de forma remota
Los navegadores web contienen la información más lucrativa sobre un usuario y, por lo tanto, se están convirtiendo en un objetivo interesante para los desarrolladores de malware. Cada pulsación de tecla o cookie de sesión puede contener información muy privada sobre un usuario, y el acceso a dicha información puede crear problemas críticos de seguridad y privacidad, tal como veremos a continuación.
Investigadores de Zimperium han descubierto una nueva botnet enfocada al navegador Chrome llamada ‘Cloud9’. Cloud9 está usando extensiones maliciosas para robar cuentas en línea, registrar pulsaciones de teclas, inyectar anuncios y código JS malicioso. Asimismo, recluta el navegador de la víctima para lanzar ataques DDoS.
La botnet Cloud9 enfocada en navegadores es efectivamente un troyano de acceso remoto (RAT) para el navegador web Chromium, incluidos Google Chrome y Microsoft Edge. Esto permite que los ciberdelincuentes ejecuten comandos de forma remota.
La extensión maliciosa de Chrome no está disponible en la tienda web oficial de Chrome, sino que circula a través de canales alternativos, como sitios web que ofrecen actualizaciones falsas de Adobe Flash Player.
Este método parece estar funcionando bien, ya que los investigadores de Zimperium informaron hoy que han visto infecciones de Cloud9 en sistemas de todo el mundo.
Infectando tu navegador
Cloud9 es una extensión de navegador maliciosa que utiliza una puerta trasera en los navegadores Chromium para realizar una extensa lista de funciones y capacidades maliciosas.
La extensión consta de tres archivos JavaScript para recopilar información del sistema y minar criptomonedas utilizando los recursos del host. Además, realiza ataques DDoS e inyecta scripts que ejecutan vulnerabilidades del navegador.
Zimperium notó la carga de exploits para las vulnerabilidades CVE-2019-11708 y CVE-2019-9810 en Firefox, CVE-2014-6332 y CVE-2016-0189 para Internet Explorer y CVE-2016-7200 para Edge.
Estas vulnerabilidades se utilizan para instalar y ejecutar automáticamente malware de Windows en el host, lo que permite a los atacantes realizar compromisos del sistema aún más importantes.
En otras palabras, si un atacante explota con éxito estas vulnerabilidades, podría obtener los mismos permisos de usuario que el usuario actual y ejecutar código en el dispositivo de la víctima como el usuario actual. Si el usuario actual inició sesión con permisos de usuario administrativo, un atacante podría instalar programas; ver, cambiar o eliminar datos. Incluso, podría crear nuevas cuentas con todos los permisos de usuario.
Sin embargo, incluso sin el componente de malware para Windows, la extensión Cloud9 puede robar cookies del navegador comprometido, que los ciberdelincuentes pueden usar para secuestrar sesiones de usuario válidas y apoderarse de cuentas.
Además, el malware presenta un registrador de teclas (keylogger) que puede espiar las pulsaciones de teclas para robar contraseñas y otra información confidencial.
Un módulo “clipper” también está presente en la extensión. Este monitorea constantemente el portapapeles del sistema en busca de contraseñas o tarjetas de crédito copiadas. Esto es especialmente peligroso en los casos en que el usuario almacena la contraseña en cualquier administrador de contraseñas y copia y pega la contraseña u otra información confidencial en la sesión del navegador infectado.
Anuncios
Cloud9 también puede inyectar anuncios cargando silenciosamente páginas web para generar impresiones de anuncios y, por lo tanto, ingresos para sus operadores.
Finalmente, el malware puede utilizar la potencia del host para realizar ataques DDoS de capa 7 a través de solicitudes HTTP POST al dominio de destino.
“Los ataques de capa 7 suelen ser muy difíciles de detectar porque la conexión TCP se parece mucho a las solicitudes legítimas”.
“Es probable que el desarrollador esté usando esta botnet para ofrecer un servicio para realizar DDOS”.
Zimperium
En resumen, las principales funcionalidades de este malware que pueden ser utilizadas para realizar actividades maliciosas son:
- Envíar solicitudes GET/POST, que pueden usarse para obtener recursos maliciosos.
- Robar cookies, que puede comprometer las sesiones de los usuarios.
- Keylogging, que podría usarse para robar contraseñas, entre otras cosas.
- Ataque híbrido capa 4/capa 7, utilizado para realizar ataques DDos desde el PC de la víctima.
- Detección de sistema operativo y navegador, para payload de próxima etapa
- Ventanas emergentes abiertas, utilizadas para inyectar anuncios.
- Ejecutar código JavaScript de otras fuentes, utilizado para inyectar más código malicioso.
- Cargar silenciosamente páginas web, que se utilizan para inyectar anuncios o para inyectar más código malicioso.
- Minar criptomonedas en el navegador. Es decir, usar los recursos de la computadora de la víctima para minar criptomonedas.
- Enviar exploits para el navegador, utilizados para tomar el control del dispositivo mediante la ejecución de código malicioso en el dispositivo.
Operadores y objetivos
Se cree que los hackers detrás de Cloud9 tienen vínculos con el grupo de malware Keksec porque los dominios del servidor de comando y control utilizados en la campaña reciente se vieron en los ataques anteriores de Keksec.
Keksec es responsable de desarrollar y ejecutar múltiples proyectos de botnet, incluidos EnemyBot , Tsunamy, Gafgyt, DarkHTTP, DarkIRC y Necro.
Las víctimas de Cloud9 están repartidas por todo el mundo, y las capturas de pantalla publicadas por los ciberdelincuentes en los foros indican que apuntan a varios navegadores.
Además, la promoción pública de Cloud9 en los foros de ciberdelincuencia lleva a Zimperium a creer que es probable que Keksec lo venda o alquile a otros operadores.
Contramedidas
Un portavoz de Google proporcionó las siguientes declaraciones en respuesta a la investigación:
Siempre recomendamos a los usuarios que actualicen a la última versión de Google Chrome para asegurarse de que cuentan con las protecciones de seguridad más actualizadas.
Los usuarios también pueden estar mejor protegidos contra ejecutables y sitios web maliciosos al habilitar la Protección Mejorada en la configuración de privacidad y seguridad en Chrome.
La Protección Mejorada te advierte automáticamente sobre sitios y descargas potencialmente riesgosas e inspecciona la seguridad de tus descargas y te advierte cuando un archivo puede ser peligroso.