По информации специалистов, был выявлен ботнет, который в основном нацелен на тех, кто пользуется браузером Хром. Он использует вирусные ПО для кейлоггинга, хищения учеток, внедрения вредоносного кода и рекламы на страницы, используют браузер того, кто был взломан, принимать участие в кибератаках.
Со слов представителей Zimperium следует, что по факту Cloud9 – это троян RAT, нацеленный на Chromium-браузеры, который дает возможность хакерам выполнять определенные действия удаленно.
При этом распространение вирусных расширений осуществляется не путем использования Chrome Web Store. Для этой цели в данном случае задействованы другие каналы. Среди них и ресурсы с фейковыми обновлениями, предназначенные для приложения Adobe Flash Player.
В составе ботнета имеются файлы JavaScript в количестве трех единиц. Их задача заключается в сборе данных системы, криптовалютного майнинга с выполнением кибератак, задействованием ресурсов хоста и введения скриптов, которые активируют эксплоиты браузера. Таким образом специалисты выявили загрузку вредоносов для ряда известных ошибок в Firefox, Edge и Internet Explorer.
Перечисленные дыры задействуют для того, чтобы устанавливать в автоматическом режиме и, соответственно, запускать на хосте Windows-малвари. Это дает возможность киберпреступникам атаковать скомпрометированную систему гораздо сильнее.
Но и без указанного фактора ботнет способен украсть cookie-файлы из взломанного браузера. Эти файы хакеры в дальнейшем могут применить для того, чтобы перехватывать сеансы пользователя и получить данные учеток. Кроме того, в малваре присутствует кейлоггер. Он запоминает нажатие кнопок. Это необходимо для хищения паролей и не только.
Есть в этом разрешении еще и модуль, регулярно контролирующий буфер обмена. Его интересуют копии данных карт банков и паролей.
Со слов специалистов следует, что в дополнение ко всему перечисленному ботнет способен загружать страницы автоматом и при помощи них генерировать демонстрацию рекламы. Хакеры же получают от этих действий определенный доход.
Кроме того, вирусная программа может использовать ресурсы в целях выполнения атак DDoS типа L7. По мнению экспертов, у операторов другие киберпреступники арендуют ботнет для совершения атаки.
Есть мнение, что хакеры-разработчики Cloud9 имеют отношение к Keksec (речь идет о малвари). Дело в том, что серверы злоумышленников, задействованные в атаках не так давно, наблюдались и в ранее совершенных кибератаках Keksec. Данная группировка специализируется на запуске одновременно ряда ботнетов, в том числе Tsunamy, DarkHTTP, EnemyBot.
Согласно имеющейся у экспертов информации, жертвы описанного ботнета есть в разных странах мира. Скрины, которые опубликовали на хат-форумах киберпреступники, указывают, что целью атак являются разнообразные браузеры.