Вредонос выдает себя за обновления для уже не работающего Adobe Flash Player.
О вредоносном расширении Для просмотра ссылки Войди
Вредоносный аддон не найти в официальных магазинах расширений для Chrome или Edge, он распространяется только через сомнительные веб-сайты, предлагающие пользователям скачать Cloud9, замаскированный под обновление Adobe Flash Player.
Как только жертва устанавливает расширение, оно сразу же внедряет JS-файл под названием "campaign.js" на все страницы, после чего начинает майнить криптовалюту на устройстве жертвы, а затем внедряет скрипт под названием "cthulhu.js".
Второй скрипт использует уязвимость веб-браузеров Mozilla Firefox ( Для просмотра ссылки Войди
После этого скрипт начинает работать как кейлоггер и канал для запуска дополнительных команд, полученных с сервера злоумышленников, что позволяет ему красть данные из буфера обмена, cookie-файлы и запускать DDoS-атаки.
Исследователи Zimperium считают, что за разработкой Cloud9 стоит группировка Keksec (она же Kek Security, Necro и FreakOut), которая имеет большой опыт в разработке ботнетов. Одно из ее творений – печально известный EnemyBot, который использовался злоумышленниками для майнинга криптовалют и проведения DDoS-атак.
- Источник новости
- https://www.securitylab.ru/news/534734.php