این افزونه کروم به هکرها اجازه می دهد تا از راه دور رایانه های شخصی را ضبط کنند

افزونه‌های مخرب Google Chrome توسط هکرها از راه دور در تلاش برای سرقت اطلاعات حساس استفاده می‌شوند.

همانطور که توسط Bleeping Computer گزارش شده است، یک بات نت جدید مرورگر کروم با نام “Cloud9” همچنین می تواند ضربات کلید را ثبت کند و همچنین تبلیغات و کدهای مخرب را توزیع کند.

بات نت مرورگر به عنوان یک تروجان دسترسی از راه دور (RAT) برای مرورگر وب Chromium کار می کند که شامل کروم و مایکروسافت اج می شود. به این ترتیب، نه تنها اعتبار ورود به سیستم قابل دسترسی است. هکرها همچنین می توانند حملات انکار سرویس توزیع شده (DDoS) را راه اندازی کنند.

افزونه کروم مورد بحث طبیعتاً از طریق فروشگاه اینترنتی رسمی کروم گوگل در دسترس نیست، بنابراین ممکن است تعجب کنید که قربانیان چگونه هدف قرار می گیرند. در عوض، از وب‌سایت‌هایی استفاده می‌شود که برای انتشار عفونت از طریق اعلان‌های به‌روزرسانی جعلی Adobe Flash Player وجود دارند.

محققان امنیتی در Zimperium تایید کرده‌اند که سطوح آلودگی Cloud9 در چندین منطقه در سراسر جهان شناسایی شده است.

در قلب Cloud9 سه فایل جاوا اسکریپت مرکزی قرار دارند که می‌توانند علاوه بر تزریق اسکریپت‌ها برای راه‌اندازی اکسپلویت‌های مرورگر، اطلاعاتی در مورد سیستم هدف و استخراج ارز دیجیتال در همان رایانه به دست آورند.

یادداشت‌های Zimperium از چندین آسیب‌پذیری مورد سوء استفاده قرار می‌گیرند، از جمله CVE-2019-11708 و CVE-2019-9810 در فایرفاکس، CVE-2014-6332 و CVE-2016-0189 در اینترنت اکسپلورر و CVE-2016-7200 در Microsoft Edge.

در حالی که آسیب‌پذیری‌ها معمولاً برای نصب بدافزار در ویندوز استفاده می‌شوند، افزونه Cloud9 می‌تواند کوکی‌ها را از یک مرورگر بدزدد و به هکرها اجازه می‌دهد جلسات معتبر کاربر را تحت کنترل خود درآورند.

علاوه بر این، بدافزار دارای یک کی لاگر است، نرم‌افزاری که اساساً می‌تواند تمام کلیدهای شما را برای مهاجمان ارسال کند. یک ماژول «کلیپر» نیز در افزونه کشف شد که به رایانه اجازه می‌دهد به رمزهای عبور کپی شده یا کارت‌های اعتباری دسترسی پیدا کند.

Zimperium گفت: “تشخیص حملات لایه 7 معمولاً بسیار دشوار است زیرا اتصال TCP بسیار شبیه به درخواست های قانونی است.” “توسعه‌دهنده احتمالاً از این بات‌نت برای ارائه سرویسی برای اجرای DDOS استفاده می‌کند.”

راه دیگری که عوامل تهدید در پشت Cloud9 درآمد غیرقانونی بیشتری ایجاد می‌کنند، تزریق تبلیغات و بارگذاری آن صفحات وب در پس‌زمینه برای جمع‌آوری نمایش تبلیغات است.

از آنجایی که Cloud9 در انجمن های جرایم سایبری مشاهده شده است، اپراتورها ممکن است پسوند مخرب آن را به اشخاص ذینفع بفروشند. با در نظر گرفتن این موضوع، همیشه بررسی کنید که آیا چیزی را از منبع غیر رسمی در مرورگر خود نصب می کنید یا خیر، و در صورت امکان احراز هویت دو مرحله ای را فعال کنید.

توصیه های سردبیران