Команда Zimperium zLabs недавно обнаружила вредоносное расширение для браузера, которое не только крадет информацию, доступную во время сессии браузера, но и может установить вредоносное ПО на устройство пользователя и впоследствии получить контроль над всем устройством. В этом блоге мы подробно рассмотрим архитектуру и методы работы этого вредоносного расширения для браузера, которое автор вредоносной программы назвал Cloud9.
Cloud9 никогда не было найдено ни в одном официальном магазине расширений для браузеров, вместо этого оно распространялось через сообщества угрожающих агентов, где пользователи инструмента затем прятали вредоносное ПО для передачи жертвам. Эти методы распространения могут быть разными, но наиболее распространенными, которые мы наблюдали в ходе расследования, были боковая загрузка через поддельные исполняемые файлы и вредоносные веб-сайты, замаскированные под обновления Adobe Flash Player.
Cloud9 Botnet
Cloud9 действует как троян удаленного доступа (RAT) с множеством функциональных возможностей. Мы столкнулись с двумя различными вариантами этой вредоносной программы: оригинальной и улучшенной версией с расширенными возможностями и исправлениями ошибок, что демонстрирует постоянную итерацию злоумышленников. Второй вариант представляет собой модификацию первого с гораздо большими возможностями и несколькими исправлениями. Наше обсуждение будет сосредоточено на "улучшенной" версии, поскольку она содержит функциональные возможности обоих вариантов.
Основными функциями этой вредоносной программы, которые могут быть использованы для выполнения вредоносных действий, являются:
- Отправка GET/POST-запросов, которые могут быть использованы для получения вредоносных ресурсов.
- Кража cookie, которая может скомпрометировать пользовательские сессии.
- Keylogging, который может быть использован для кражи паролей и т.д.
- Гибридная атака уровня 4 / уровня 7, используемая для проведения DDos-атак с ПК жертвы.
- Обнаружение ОС и браузера для получения полезной нагрузки на следующем этапе.
- Открыть Pop-unders, используется для инъекции рекламы.
- Выполнение JavaScript-кода из других источников, используется для внедрения более вредоносного кода.
- Тихая загрузка веб-страниц, используемая для инъекции рекламы или внедрения более вредоносного кода.
- Майнить криптовалюты в браузере, чтобы использовать ресурсы компьютера жертвы для майнинга криптовалюты.
- Отправить браузерный эксплойт, используется для получения контроля над устройством путем выполнения вредоносного кода в устройстве.
Indicators of Compromise
IPv4
- 107.174.133.119
URLs
- http://download.agency/
- http://download.loginserv.net/
- https://cloud-miner.de/
- https://p27rjz4oiu53u4gm.onion.link
- https://zmsp.top/bot/cloud9-github/
SHA256
- 062ebb3d6967744ecd9abba13fdae1edb2ae5248e228d1ad39800bc742815d02
- 4b7ba9632318c84115ec345e2c4d07283c6a81e0112bb38b9400f0fabeb8e3be
- d8159d8b2f82ca62d73e15f8fc9f38831090afe99a75560effb1ad81dcb46228
- Dc20a36d9e2e767bb994d29a50b75afc3ac757e430a7d6abb1fa8ef7fe44ebfa
- f22eb3fab95165f994bb12c9764583939db12176a298aeb065586b7d01301165
- fc194cd7fe68424071feb3087cd5aa6616dfcd7cc06588d867505dd969f50db4