March 29, 2023


Chrome

Botnet browser Chrome baru bernama ‘Cloud9’ telah ditemukan di alam liar menggunakan ekstensi berbahaya untuk mencuri akun online, mencatat penekanan tombol, menyuntikkan iklan dan kode JS berbahaya, dan mendaftarkan browser korban dalam serangan DDoS.

Botnet browser Cloud9 secara efektif merupakan trojan akses jarak jauh (RAT) untuk browser web Chromium, termasuk Google Chrome dan Microsoft Edge, yang memungkinkan pelaku ancaman untuk mengeksekusi perintah dari jarak jauh.

Ekstensi Chrome berbahaya tidak tersedia di toko web Chrome resmi, melainkan diedarkan melalui saluran alternatif, seperti situs web yang mendorong pembaruan Adobe Flash Player palsu.

Ekstensi browser berbahaya di Chrome
Ekstensi browser berbahaya di Chrome (Zimperium)

Metode ini tampaknya bekerja dengan baik, karena para peneliti di Zimperium melaporkan hari ini bahwa mereka telah melihat infeksi Cloud9 pada sistem di seluruh dunia.

Menginfeksi browser Anda

Cloud9 adalah ekstensi browser berbahaya yang membuka pintu belakang browser Chromium untuk melakukan daftar ekstensif fungsi dan kemampuan berbahaya.

Ekstensi terdiri dari tiga file JavaScript untuk mengumpulkan informasi sistem, menambang cryptocurrency menggunakan sumber daya host, melakukan serangan DDoS, dan menyuntikkan skrip yang menjalankan eksploitasi browser.

Zimperium memperhatikan pemuatan eksploit untuk kerentanan CVE-2019-11708 dan CVE-2019-9810 di Firefox, CVE-2014-6332 dan CVE-2016-0189 untuk Internet Explorer, dan CVE-2016-7200 untuk Edge.

Kerentanan ini digunakan untuk menginstal dan mengeksekusi malware Windows secara otomatis di host, memungkinkan penyerang untuk melakukan kompromi sistem yang lebih signifikan.

Namun, bahkan tanpa komponen malware Windows, ekstensi Cloud9 dapat mencuri cookie dari browser yang disusupi, yang dapat digunakan oleh pelaku ancaman untuk membajak sesi pengguna yang valid dan mengambil alih akun.

Pencuri cookie browser
Pencuri cookie browser (Zimperium)

Selain itu, malware ini memiliki fitur keylogger yang dapat mengintip penekanan tombol untuk mencuri kata sandi dan informasi sensitif lainnya.

Modul “clipper” juga hadir dalam ekstensi, terus memantau clipboard sistem untuk kata sandi atau kartu kredit yang disalin.

Komponen clipper Cloud9
Komponen clipper Cloud9 (Zimperium)

Cloud9 juga dapat menyuntikkan iklan dengan memuat halaman web secara diam-diam untuk menghasilkan tayangan iklan dan, dengan demikian, pendapatan bagi operatornya.

Terakhir, malware dapat meminta daya tembak host untuk melakukan serangan DDoS layer 7 melalui permintaan HTTP POST ke domain target.

“Serangan Layer 7 biasanya sangat sulit dideteksi karena koneksi TCP terlihat sangat mirip dengan permintaan yang sah,” komentar Zimperium.

“Pengembang kemungkinan menggunakan botnet ini untuk menyediakan layanan untuk melakukan DDOS.”

Operator dan target

Peretas di balik Cloud9 diyakini memiliki hubungan dengan grup malware Keksec karena domain C2 yang digunakan dalam kampanye baru-baru ini terlihat dalam serangan Keksec sebelumnya.

Keksec bertanggung jawab untuk mengembangkan dan menjalankan beberapa proyek botnet, termasuk Bot MusuhTsunamy, Gafgyt, DarkHTTP, DarkIRC, dan Necro.

Korban Cloud9 tersebar di seluruh dunia, dan tangkapan layar yang diposting oleh aktor ancaman di forum menunjukkan bahwa mereka menargetkan berbagai browser.

Tangkapan layar panel Cloud9
Tangkapan layar panel Cloud9 (Zimperium)

Selain itu, promosi publik Cloud9 di forum kejahatan dunia maya membuat Zimperium percaya bahwa Keksec kemungkinan akan menjual/menyewakannya ke operator lain.

Leave a Reply

Your email address will not be published. Required fields are marked *