Esta extensión de Chrome permite a los piratas informáticos apoderarse de forma remota de su PC
Los piratas informáticos están utilizando extensiones maliciosas en Google Chrome de forma remota en un esfuerzo por robar información confidencial.
Según lo informado por Bleeping Computer , una nueva botnet del navegador Chrome llamada 'Cloud9' también es capaz de registrar pulsaciones de teclas, así como distribuir anuncios y código malicioso.
La botnet del navegador funciona como un troyano de acceso remoto (RAT) para el navegador web Chromium, que incluye Chrome y Microsoft Edge. Como tal, no solo se puede acceder a las credenciales de inicio de sesión; Los piratas informáticos también pueden lanzar ataques de denegación de servicio distribuido ( DDoS ).
Naturalmente, no se puede acceder a la extensión de Chrome en cuestión a través de la tienda web oficial de Chrome de Google, por lo que es posible que se pregunte cómo se ataca a las víctimas. En su lugar, se utilizan sitios web que existen para propagar infecciones a través de notificaciones falsas de actualización de Adobe Flash Player.
Los investigadores de seguridad de Zimperium han confirmado que se han detectado tasas de infección de Cloud9 en varias regiones del mundo.
La base de Cloud9 son tres archivos JavaScript centrales que pueden obtener información del sistema de destino y extraer criptomonedas en esa misma PC, además de inyectar scripts para iniciar exploits del navegador.
Se están explotando múltiples vulnerabilidades, señala Zimperium, incluidas CVE-2019-11708 y CVE-2019-9810 en Firefox, CVE-2014-6332 y CVE-2016-0189 para Internet Explorer y CVE-2016-7200 para Microsoft Edge.
Aunque las vulnerabilidades se usan comúnmente para instalar malware de Windows, la extensión Cloud9 puede robar cookies de un navegador, lo que permite a los piratas informáticos tomar el control de sesiones de usuario válidas.
Además, el malware viene con un registrador de teclas, un software que esencialmente puede enviar todas las pulsaciones de teclas a los atacantes. También se descubrió un módulo "clipper" en la extensión, que permite que la PC acceda a contraseñas o tarjetas de crédito copiadas.
“Los ataques de capa 7 suelen ser muy difíciles de detectar porque la conexión TCP se parece mucho a las solicitudes legítimas”, afirmó Zimperium. "Es probable que el desarrollador esté usando esta botnet para proporcionar un servicio para realizar DDOS".
Otra forma en que los actores de amenazas detrás de Cloud9 generan aún más ingresos ilícitos es inyectando anuncios y luego cargando estas páginas web en segundo plano para acumular impresiones de anuncios.
Con Cloud9 siendo visto en los foros de ciberdelincuencia, los operadores podrían estar vendiendo su extensión maliciosa a las partes interesadas. Con esto en mente, siempre verifique dos veces si está instalando algo en su navegador desde una fuente no oficial y habilite la autenticación de dos factores cuando sea posible.