Se ha descubierto que una extensión maliciosa está causando caos en Google Chrome, se trata de una nueva botnet que se encuentra en el navegador, recibe como nombre “Cloud9”, emplea extensiones con la misión de robar cuentas desde internet, se encarga de registrar las pulsaciones que se llevan a cabo con las teclas.
Por otro lado, esta amenaza también inyecta anuncios y códigos JS que son maliciosos, al mismo tiempo usa el navegador para provocar el ataque DDoS sobre cualquier víctima, el botnet del navegador Cloud9 se puede clasificar como un troyano que actúa desde el acceso remoto (RAT).
Conoce el riesgo detrás de la extensión maliciosa
El navegador web Chromium, sin dejar a un lado a Google Chrome junto con Microsoft Edge, son vulnerables ante las amenazas que diseña y ejecuta el actor, al iniciar comandos a distancia, sacando provecho de las funciones remotas, esta extensión maliciosa de Chrome no se encuentra en la tienda web oficial.
La circulación de la pestaña se está produciendo en medios alternos, puede aparecer en sitios web que ofrecen actualizaciones falsas sobre Adobe Flash Player, esta estrategia funciona, varios investigadores de Zimperium lo han destacado, e informan sobre las enormes infecciones que surgen de Cloud9 en diversos sistemas en el mundo.
Todo inicia al infectar el navegador, Cloud9 se define como una infección que emplea una puerta o salida que emerge en los navegadores Chromium, con el propósito de implementar funciones y actividades maliciosas, esta extensión está basada en archivos de JavaScript, de ese modo recopila datos y suficiente información del sistema.
Una vez que la extensión obtenga suficiente información, puede conseguir criptomonedas, debido a que ejecuta recursos del host, como frutos de los ataques DDoS para inyectar scripts, todo esto abre una enorme brecha de vulnerabilidad en el navegador, esto fue percibido por Zimperium.
La infección que acecha tu navegador
La carga de Exploits es uno de los primeros signos identificados por Zimperium, es el origen de todas las vulnerabilidades como CVE-2019-11708 y CVE-2019-9810 que se está presentando en Firefox, como también CVE-2014-6332 y CVE-2016-0189 en el caso de Internet Explorer, y finalmente CVE-2016-7200 en Edge.
Este cúmulo de vulnerabilidades cumplen la función de instalar y ejecutar de manera automática el malware de Windows en el host, esto permite que los atacantes envíen más trampas y comprometan el sistema seriamente, sin el uso del componente del malware de Windows la extensión Cloud9 puede llegar a robar cookies de tu navegador.
Mientras el navegador se encuentre comprometido, resulta más sencillo tener acceso a estos datos, estos se usan para secuestrar cualquier tipo de sesión que se lleve a cabo, es posible apoderarse de cuentas de manera sencilla, a su vez el malware emplea un registrador de teclas que se encarga de espiar todas las pulsaciones para tener tus contraseñas.
El robo de la información confidencial se produce de manera progresiva, usa un módulo “clipper”, este se mantiene oculto en la extensión para monitorear los datos que están en el portapapeles de tu sistema, este es un tipo de búsqueda que ejecuta para tener las contraseñas y las tarjetas de créditos.
Cloud9 y las inyecciones al sistema
El Cloud9 se encarga de incluir anuncios que están inyectados, los cuales se ejecutan de forma silenciosa en los sitios web para tener impresiones sobre esos anuncios, es decir, ganan dinero gracias a sus operadores, este es un malware que no solo consigue ingresos, sino que también usa la potencia que alcanza el fuego del host.
Los ataques DDoS provienen precisamente de esta potencia, por eso su amenaza alcanza la capa 7 desde las solicitudes HTTP POST, la cual se destina sobre el dominio de destino, los ataques que son de capa 7 son complejos de identificar porque la conexión TCP parecen legítimas a simple vista, así que debes estar atento.
