Une extension de navigateur Chromium infestée de logiciels malveillants appelée « Cloud9 » balaie les données de session du navigateur mobile des utilisateurs tout en endommageant et en prenant le contrôle de leurs appareils, a révélé la société américaine de cybersécurité mobile Zimperium.
Cloud9 – que l’on pense être distribué par l’importante société du dark web « Keksec » – n’est disponible sur aucune boutique d’applications officielle, mais infecte les utilisateurs avec des navigateurs basés sur Chromium tels que Google Chrome et Microsoft Edge via des mises à jour truquées d’Adobe Flash Player sur des sites Web malveillants, a noté Zimperium.
Le logiciel malveillant s’apparente à un cheval de Troie à accès aléatoire (RAT) car il vole les informations de session du navigateur, mais il a également été transformé en botnet : lorsqu’un « bot herder » (c’est-à-dire un pirate informatique) infecte et contrôle plusieurs ordinateurs otages sur un réseau .
Le logiciel malveillant est à la fois un consommateur mondial et une menace pour les entreprises, tandis que le nombre de victimes concernées à l’heure actuelle est inconnu.
Un module RAT militarisé dans un botnet
Les chercheurs de Zimperium ont confirmé dans un article du blog du mardi 8 novembre qu’un article « amélioré » version du méchant logiciel malveillant Cloud9 diffusée par le groupe de logiciels malveillants Keksec compromet les utilisateurs dans le monde entier.
« Nous avons découvert deux variantes différentes de ce malware, une version originale et une version améliorée avec des fonctionnalités étendues et des corrections de bogues, démontrant comment les acteurs malveillants itèrent constamment », ont déclaré les chercheurs.
Zimperium a répertorié plusieurs façons dont le logiciel malveillant Cloud9 amélioré exécute des activités malveillantes, notamment le vol de cookies de navigateur, l’enregistrement de frappe, le lancement d’attaques DDoS et l’injection de code pour prendre le contrôle d’appareils. Le logiciel malveillant peut également asservir un appareil pour exploiter la crypto-monnaie, ce qui sollicite ses composants matériels.
Fichiers de piratage Javascript
Lors de la première inspection, les chercheurs ont découvert que l’échantillon Cloud9 ne contenait que quelques fichiers Javascript, mais il s’est avéré que ces fichiers étaient polyvalents. Un fichier nommé « campaign.js » identifie d’abord le système d’exploitation de l’appareil et injecte un code qui exploite la crypto-monnaie en arrière-plan.
Ce processus « diminue non seulement les performances de l’appareil, mais réduit la durée de vie du matériel et augmente la consommation d’énergie, ce qui se traduit par une perte monétaire lente mais régulière », a déclaré Zimperium.
Le fichier suivant dans la chaîne d’infection – bien nommé « cthulhu.js » qui fait allusion à la créature fictive de Lovecraftian – exploite les vulnérabilités existantes de Firefox et Windows en injectant des logiciels malveillants basés sur Windows pour asservir l’appareil à un serveur de commande contrôlé par des pirates. En plus de ce processus, les saisies au clavier de l’utilisateur sont enregistrées.
En conséquence, Cloud9 peut voler les cookies du navigateur et les données du presse-papiers (copier-coller), effectuer du « détournement de clics », craquer des hachages chiffrés, se compléter avec des outils malveillants supplémentaires à la volée et exécuter des attaques DDoS alimentées par un botnet d’appareils victimes. .
« Les attaques de couche 7 sont généralement très difficiles à détecter car la connexion TCP ressemble beaucoup à des requêtes légitimes. Le développeur utilise probablement ce botnet pour fournir un service permettant d’effectuer des attaques DDOS. »
Groupe de logiciels malveillants « Keksec »
Le désormais célèbre groupe de logiciels malveillants Keksec a été créé en 2016 « par certains acteurs de botnets », ont déclaré des chercheurs, qui sont connus pour leurs DDoS et leurs botnets crypto-mining et leurs produits malveillants sur le dark web. Publié pour la première fois en 2017, les chercheurs ont tracé une mise à jour de Cloud9 en 2020.
Cloud9 est désormais proposé « soit gratuitement », soit vendu « pour quelques centaines de dollars sur différents forums de hackers », a ajouté Zimperium. « Comme il est assez simple à utiliser et disponible gratuitement, il peut être utilisé par de nombreux groupes de logiciels malveillants ou individus à des fins spécifiques », ont noté les chercheurs. Cloud9 peut non seulement être exploité pour voler les données personnelles des utilisateurs, mais également les données des entreprises et des clients d’une manière qui se faufile par les produits de surveillance de sécurité courants.
Les logiciels malveillants polyvalents tels que les chevaux de Troie RAT font fureur ces jours-ci, et les criminels comptent toujours sur les utilisateurs et les organisations qui accèdent à un site Web truqué et s’infectent accidentellement. La tendance des auteurs de logiciels malveillants à améliorer leurs logiciels malveillants à la volée et à concevoir des logiciels malveillants pour infecter plusieurs plates-formes est également quelque chose que nous avons pris l’habitude de voir. Dans une récente prévision, les spécialistes de la cybersécurité de Mandiant ont déclaré que les logiciels malveillants facilement disponibles, parmi lesquels les voleurs d’informations et les pirates de navigateur, rendront de plus en plus facile le piratage des organisations en 2023.
Pour vous protéger contre les menaces de logiciels malveillants comme Cloud9, Zimperium recommande aux utilisateurs de se former aux extensions de navigateur tierces et aux entreprises de renforcer leurs contrôles de sécurité pour refléter ces risques. Assurez-vous de prendre note des symptômes d’infection par des logiciels malveillants, tels que la surchauffe ou le ralentissement notable de votre appareil. Assurez-vous également que vous êtes bien sécurisé avec des choix dans notre liste des cinq meilleurs outils de cybersécurité.
Toute l’actualité en temps réel, est sur L’Entrepreneur
