Новости Новый ботнет Cloud9 атакует тысячи пользователей по всему миру

NewsMaker

I'm just a script
Премиум
13,334
20
8 Ноя 2022

Вредонос выдает себя за обновления для уже не работающего Adobe Flash Player.​


b5unyxbdylm2p1u04laagmfp1y5tb80i.jpg


О вредоносном расширении Для просмотра ссылки Войди или Зарегистрируйся специалисты Zimperium, которые и назвали его Cloud9. Как говорят исследователи, вредонос умеет перехватывать cookie-файлы, фиксировать нажатия клавиш, внедрять произвольный JavaScript-код, майнить криптовалюту и использовать зараженное устройство для проведения DDoS-атак. Помимо кражи информации, Для просмотра ссылки Войди или Зарегистрируйся способен установить вредоносное ПО на устройство жертвы, чтобы позже взять его под полный контроль.

Вредоносный аддон не найти в официальных магазинах расширений для Chrome или Edge, он распространяется только через сомнительные веб-сайты, предлагающие пользователям скачать Cloud9, замаскированный под обновление Adobe Flash Player.

Как только жертва устанавливает расширение, оно сразу же внедряет JS-файл под названием "campaign.js" на все страницы, после чего начинает майнить криптовалюту на устройстве жертвы, а затем внедряет скрипт под названием "cthulhu.js".

Второй скрипт использует уязвимость веб-браузеров Mozilla Firefox ( Для просмотра ссылки Войди или Зарегистрируйся ), Internet Explorer ( Для просмотра ссылки Войди или Зарегистрируйся , Для просмотра ссылки Войди или Зарегистрируйся ) и Edge ( Для просмотра ссылки Войди или Зарегистрируйся ), чтобы сбежать из “песочницы” и развернуть вредоносное ПО в системе.

После этого скрипт начинает работать как кейлоггер и канал для запуска дополнительных команд, полученных с сервера злоумышленников, что позволяет ему красть данные из буфера обмена, cookie-файлы и запускать DDoS-атаки.

Исследователи Zimperium считают, что за разработкой Cloud9 стоит группировка Keksec (она же Kek Security, Necro и FreakOut), которая имеет большой опыт в разработке ботнетов. Одно из ее творений – печально известный EnemyBot, который использовался злоумышленниками для майнинга криптовалют и проведения DDoS-атак.
 
Источник новости
https://www.securitylab.ru/news/534734.php

Похожие темы