この Chrome 拡張機能により、ハッカーは PC をリモートで押収できます

Google Chrome の悪意のある拡張機能は、機密情報を盗むためにハッカーによってリモートで使用されています。

Bleeping Computer が報告したように、「Cloud9」というタイトルの新しい Chrome ブラウザー ボットネットも、キーストロークをログに記録するだけでなく、広告や悪意のあるコードを配布することもできます。

コードを使用してシステムに侵入するハッカーの描写。

ブラウザー ボットネットは、Chrome と Microsoft Edge の両方を含む Chromium Web ブラウザーのリモート アクセス トロイの木馬(RAT) として動作します。そのため、アクセスできるのはログイン資格情報だけではありません。ハッカーは、分散サービス拒否 ( DDoS ) 攻撃を開始することもできます。

問題の Chrome 拡張機能は、Google の公式 Chrome Web ストアからはもちろんアクセスできないため、被害者がどのように標的にされているのか疑問に思うかもしれません。偽の Adob​​e Flash Player 更新通知を介して感染を広めるために存在する Web サイトが代わりに使用されています。

Zimperium のセキュリティ研究者は、Cloud9 の感染率が世界中の複数の地域で検出されたことを確認しました。

Cloud9 の基盤は、ターゲット システムの情報を取得し、ブラウザのエクスプロイトを起動するためにスクリプトを挿入するだけでなく、同じ PC で暗号通貨をマイニングできる 3 つの中心的な JavaScript ファイルです。

Zimperium は、Firefox の CVE-2019-11708 と CVE-2019-9810、Internet Explorer の CVE-2014-6332 と CVE-2016-0189、Microsoft Edge の CVE-2016-7200 など、複数の脆弱性が悪用されていると指摘しています。

この脆弱性は一般的に Windows マルウェアをインストールするために使用されますが、Cloud9 拡張機能はブラウザーから Cookie を盗み、ハッカーが有効なユーザー セッションを乗っ取ることを可能にします。

さらに、マルウェアにはキーロガーが付属しています。キーロガーは、基本的にすべてのキー操作を攻撃者に送信できるソフトウェアです。拡張機能で「クリッパー」モジュールも発見されました。これにより、PC はコピーされたパスワードやクレジット カードにアクセスできます。

「レイヤー 7 攻撃は通常、TCP 接続が正当な要求と非常によく似ているため、検出が非常に困難です」と Zimperium は述べています。 「開発者はこのボットネットを使用して、DDOS を実行するサービスを提供している可能性があります。」

Cloud9 の背後にいる攻撃者がさらに違法な収入を生み出すもう 1 つの方法は、広告を挿入し、これらの Web ページをバックグラウンドで読み込んで広告のインプレッションを獲得することです。

Cloud9 がサイバー犯罪フォーラムで発見されたため、オペレーターはその悪意のある拡張機能を利害関係者に販売している可能性があります。これを念頭に置いて、ブラウザに非公式のソースから何かをインストールしているかどうかを常に再確認し、可能な場合は 2 要素認証を有効にしてください。