Chrome 的殭屍網路「cloud9」可以透過惡意外掛程式遠端控制使用者的瀏覽器,記錄使用者的帳戶、瀏覽活動、並操弄受害者的瀏覽器參與攻擊者發起的 DDoS 攻擊。此外,受害者瀏覽的內容也可能被注入惡意的廣告和 javascript 代碼。
◾️ 攻擊內容說明
殭屍網路「cloud9」,被認為是專用於 Chromium 系列瀏覽器 (包含:Google Chrome 和Microsoft Edge) 的遠端存取木馬 (RAT, remote access Trojan),指的是一種可對於目標電腦設備進行管理控制的後門惡意程式。在本次討論的攻擊中,雖然 Cloud 9 所使用的惡意外掛程式並無法在 Chrome 的網路商店中被下載,但是會以特定頁面中假冒 Adobe Flash Player 更新資訊的方式被下載。
在 Zimperium 的研究者依照目前全球的總受害表現說明此攻擊手法的效果也是顯著的。
Cloud9 所使用的惡意外掛程式主要由數個 javascript 檔案組成,用於搜集受害者系統資訊、虛擬貨幣挖礦、利用受害者的瀏覽器資源進行 DDoS 攻擊、或是更改瀏覽器的版本並利用該版本的瀏覽器漏洞。
Zimperium 發現,此類攻擊尤其常利用的弱點和瀏覽器如下:
Firefox- CVE-2019-11708 and CVE-2019-9810
IE- CVE-2014-6332 and CVE-2016-0189
Edge- CVE-2016-7200
以上弱點通常被用於在作業系統中自動下載和執行 Windows 中的惡意程式,讓攻擊範圍得以從瀏覽器到受害者的系統主機。
在沒有 windows 惡意程式的情況下,Cloud 9 所使用的惡意外掛程式也可以透過受害的瀏覽器記錄使用各 Session 活動,並竊取這些受害用戶的帳戶使用權。除此之外,攻擊者還可以透過惡意程式中的 Keylogger 和 clipper;一方面記錄使用者的鍵盤活動以取得受害者的帳號名稱、密碼資訊或是其他敏感的個人資料、一方面記錄使用者在剪貼簿 (system clipboard) 中的密碼或是銀行帳號等資訊。
除了對於受害者的資料進行竊取而獲利之外,攻擊者也可以透過插入特定的廣告內容,對使用者的購買行為進行潛在的影響,以從營運商處獲得利潤。同時,此惡意程式也會利用受害者瀏覽器的火力對目標域進行 http POST 請求,執行第 7 級的 DDoS 攻擊。第 7 級的 DDoS 攻擊因與自然地使用瀏覽極為相似,故很難被發現。
◾️ 誰是幕後指使?
在經過 C&C 伺服器資訊的比對之後,研究學者認為:本次使用殭屍網路 「cloud 9」 的攻擊者被認為與 Keksec 惡意程式團隊有關。Keksec 在過去也有過許多利用殭屍網路 (botnet) 的攻擊記錄,例如 EnemyBot, Tsunamy, Gafgyt, DarkHTTP, DarkIRC 和 Necro 等等。
參考資料
Malicious extension lets attackers control Google Chrome remotely, BleepingComputer (Nov 8, 2022)
https://www.bleepingcomputer.com/news/security/malicious-extension-lets-attackers-control-google-chrome-remotely/