Las extensiones maliciosas en Google Chrome están siendo utilizadas por piratas informáticos de forma remota en un esfuerzo por robar información confidencial.
Según lo informado por Bleeping Computer, una nueva botnet del navegador Chrome titulada ‘Cloud9’ también es capaz de registrar las pulsaciones de teclas, así como distribuir anuncios y código malicioso.
La botnet del navegador funciona como un troyano de acceso remoto (RAT) para el navegador web Chromium, que incluye Chrome y Microsoft Edge. Como tal, no solo se puede acceder a las credenciales de inicio de sesión; Los hackers también pueden lanzar ataques distribuidos de denegación de servicio (DDoS).
La extensión de Chrome en cuestión, naturalmente, no es accesible a través de la tienda web oficial de Chrome de Google, por lo que es posible que se pregunte cómo se ataca a las víctimas. En su lugar, se utilizan sitios web que existen para propagar infecciones a través de notificaciones falsas de actualización de Adobe Flash Player.
Los investigadores de seguridad de Zimperium han confirmado que las tasas de infección de Cloud9 se han detectado en múltiples regiones del mundo.
La base de Cloud9 son tres archivos JavaScript centrales que pueden obtener información del sistema de destino y extraer criptomonedas en esa misma PC, además de inyectar scripts para lanzar exploits del navegador.
Se están explotando múltiples vulnerabilidades, señala Zimperium, incluidos CVE-2019-11708 y CVE-2019-9810 en Firefox, CVE-2014-6332 y CVE-2016-0189 para Internet Explorer, y CVE-2016-7200 para Microsoft Edge.
Aunque las vulnerabilidades se usan comúnmente para instalar malware de Windows, la extensión Cloud9 puede robar cookies de un navegador, lo que permite a los piratas informáticos hacerse cargo de sesiones de usuario válidas.
Además, el malware viene con un keylogger, un software que esencialmente puede enviar todas sus pulsaciones de teclas a los atacantes. También se descubrió un módulo «clipper» en la extensión, que permite a la PC acceder a contraseñas copiadas o tarjetas de crédito.
«Los ataques de capa 7 suelen ser muy difíciles de detectar porque la conexión TCP se parece mucho a las solicitudes legítimas», afirmó Zimperium. «Es probable que el desarrollador esté utilizando esta botnet para proporcionar un servicio para realizar DDOS».
Otra forma en que los actores de amenazas detrás de Cloud9 generan aún más ingresos ilícitos es inyectando anuncios y luego cargando estas páginas web en segundo plano para acumular impresiones de anuncios.
Con Cloud9 siendo visto en los foros de delitos cibernéticos, los operadores podrían estar vendiendo su extensión maliciosa a las partes interesadas. Con esto en mente, siempre verifique si está instalando algo en su navegador desde una fuente no oficial y habilite la autenticación de dos factores siempre que sea posible.
