专家警告浏览器扩展通过Cloud9 Chrome僵尸网络监视用户

Keksec威胁扮演者与一种以前未被记录的恶意软件株有关，这种恶意软件株在野外被观察到伪装成Chromium网络浏览器的扩展，将被入侵的机器奴役到僵尸网络中。

打电话云9由安全公司Zimperium开发的恶意浏览器插件具有广泛的功能，使其能够虹吸cookie、记录击键、注入任意JavaScript代码、挖掘密码，甚至招募主机进行DDoS攻击。

Zimperium研究人员尼蓬·古普塔（Nipun Gupta）在一份新的报告中表示，该扩展“不仅窃取了浏览器会话期间可用的信息，还可以在用户的设备上安装恶意软件，随后控制整个设备”。

JavaScript僵尸网络不是通过Chrome Web Store或Microsoft Edge Add-ons发布的，而是通过假冒的可执行文件和伪装成Adobe Flash Player更新的恶意网站发布的。

一旦安装，该扩展被设计为在所有页面上注入一个名为“campaint.js”的JavaScript文件，这意味着该恶意软件也可以作为一段独立的代码在任何网站上运行，无论是合法的还是其他的，都可能导致水坑攻击。

JavaScript代码负责加密劫持操作，滥用受害者的计算资源非法开采加密货币，并注入名为“cthulhu.js”的第二个脚本。

该攻击链反过来利用Mozilla Firefox（CVE-2019-11708、CVE-2019-9810）、Internet Explorer（CVE-2014-6332、CVE-2016-0189）和Edge（CVE-2016-7200）等web浏览器中的漏洞，以逃避浏览器沙盒并在系统上部署恶意软件。

该脚本还充当键盘记录器和管道，用于启动从远程服务器接收的其他命令，允许其窃取剪贴板数据、浏览器cookie，并针对任何域发起第7层DDoS攻击。

Zimperium将恶意软件归因于一个被追踪为Keksec（又名Kek Security、Nec和FreakOut）的威胁参与者，该公司有开发广泛僵尸网络恶意软件的历史，包括EnemyBot，用于加密挖掘和DDoS操作。

与Keksec的连接来自先前被恶意软件组识别为使用的域中的重叠。

事实上，Cloud9基于JavaScript，并且在黑客论坛上免费或收取少量费用，这使得技术不太熟练的网络犯罪分子可以轻松获得针对不同浏览器和操作系统的攻击的低成本选项。

三个多月前，Zimperium发现了一个名为ABCsoup的恶意浏览器插件，该插件冒充谷歌翻译工具攻击谷歌Chrome、Opera和Mozilla Firefox浏览器的俄罗斯用户。

古普塔说：“用户应该接受与官方存储库之外的浏览器扩展相关的风险培训，企业应该考虑他们对此类风险采取了哪些安全控制措施”。

更新：报道发表后，谷歌发言人与《黑客新闻》分享了以下声明：

“我们始终建议用户更新到最新版本的Google Chrome，以确保他们拥有最新的安全保护。通过在Chrome中的隐私和安全设置中启用增强保护，用户还可以更好地免受恶意可执行文件和网站的侵害。增强保护会自动警告您可能存在风险的网站和下载，并检查当文件可能有危险时，会发出警告"。