Mit dieser Chrome-Erweiterung können Hacker Ihren PC aus der Ferne angreifen

Eskere Guru

Schädliche Erweiterungen in Google Chrome werden von Hackern aus der Ferne verwendet, um vertrauliche Informationen zu stehlen.

Wie von Bleeping Computer berichtet , ist ein neues Chrome-Browser-Botnetz mit dem Namen „Cloud9“ auch in der Lage, Tastenanschläge zu protokollieren sowie Anzeigen und bösartigen Code zu verteilen.

Eine Darstellung eines Hackers, der mithilfe von Code in ein System eindringt.

Das Browser-Botnetz fungiert als Fernzugriffstrojaner (RAT) für den Chromium-Webbrowser, der sowohl Chrome als auch Microsoft Edge umfasst. Daher kann nicht nur auf Anmeldedaten zugegriffen werden; Hacker können auch Distributed-Denial-of-Service-Angriffe ( DDoS ) starten.

Die fragliche Chrome-Erweiterung ist natürlich nicht über den offiziellen Chrome-Webstore von Google zugänglich, sodass Sie sich vielleicht fragen, wie Opfer angegriffen werden. Stattdessen werden Websites verwendet, die Infektionen über gefälschte Adobe Flash Player-Update-Benachrichtigungen verbreiten.

Sicherheitsforscher von Zimperium haben bestätigt, dass Cloud9-Infektionsraten in mehreren Regionen auf der ganzen Welt festgestellt wurden.

Die Grundlage von Cloud9 sind drei zentrale JavaScript-Dateien, die Informationen über das Zielsystem erhalten und Kryptowährung auf demselben PC schürfen können, zusätzlich zum Einfügen von Skripten, um Browser-Exploits zu starten.

Mehrere Schwachstellen werden ausgenutzt, stellt Zimperium fest, darunter CVE-2019-11708 und CVE-2019-9810 in Firefox, CVE-2014-6332 und CVE-2016-0189 für Internet Explorer und CVE-2016-7200 für Microsoft Edge.

Obwohl die Sicherheitslücken häufig zur Installation von Windows-Malware verwendet werden, kann die Cloud9-Erweiterung Cookies von einem Browser stehlen, sodass Hacker gültige Benutzersitzungen übernehmen können.

Darüber hinaus enthält die Malware einen Keylogger – eine Software, die im Wesentlichen alle Ihre Tastendrücke an die Angreifer senden kann. In der Erweiterung wurde auch ein „Clipper“-Modul entdeckt, das es dem PC ermöglicht, auf kopierte Passwörter oder Kreditkarten zuzugreifen.

„Layer-7-Angriffe sind normalerweise sehr schwer zu erkennen, da die TCP-Verbindung legitimen Anfragen sehr ähnlich sieht“, erklärte Zimperium. „Der Entwickler nutzt dieses Botnetz wahrscheinlich, um einen Dienst zur Ausführung von DDOS bereitzustellen.“

Eine andere Möglichkeit, wie die Bedrohungsakteure hinter Cloud9 noch mehr illegales Einkommen generieren, besteht darin, Werbung einzuspeisen und diese Webseiten dann im Hintergrund zu laden, um Werbeimpressionen zu sammeln.

Da Cloud9 in Cybercrime-Foren entdeckt wird, könnten die Betreiber seine bösartige Erweiterung an interessierte Parteien verkaufen. Überprüfen Sie daher immer, ob Sie etwas von einer inoffiziellen Quelle in Ihrem Browser installieren, und aktivieren Sie nach Möglichkeit die Zwei-Faktor-Authentifizierung.