Zimperium zLabs’taki araştırmacılar, kısa süre önce, kötü amaçlı uzantılar kullanarak aşağıdaki bilgileri çalmayı amaçlayan ‘Cloud9’ adlı yeni bir Chrome tarayıcı botnet’i belirledi:-
- Çevrimiçi hesap kimlik bilgileri
- Tuş vuruşlarını günlüğe kaydet
- Reklamları enjekte et
- Kötü amaçlı JS kodunu enjekte edin
- DDoS saldırılarında kurbanın tarayıcısını kaydettirin
Bu yöntem, bir kullanıcı hakkında en değerli bilgileri içerdiğinden, kötü amaçlı yazılım geliştiricilerin web tarayıcılarını hedeflemesi için giderek daha çekici hale geliyor.
Günlük aktiviteler sırasında, tuş vuruşlarımız veya oturum çerezlerimiz aracılığıyla kendimiz hakkında çok şey öğrenebiliriz. Bu tür bilgilere erişim, güvenlik ihlali veya mahremiyet ihlaline neden olabilir.
Cloud9 botnet, Chrome ve Microsoft Edge gibi tüketiciler arasında popüler olan Chromium tabanlı tüm web tarayıcılarını etkileyen bir RAT’tır. Ayrıca, tehdit aktörleri, keyfi komutları uzaktan yürütmek için bu RAT’tan yararlanabilir.
Teknik Analiz
Resmi Chrome web mağazası bu kötü amaçlı Chrome uzantısını barındırmaz, bu nedenle oradan indirilemez.
Bu kötü amaçlı yazılımın dağıtım kanalı, tehdit aktörleri tarafından işletilen topluluklara dayanır ve kötü amaçlı yazılım, araç tarafından kurbanlara teslim edilmeden önce aracın kullanıcıları tarafından gizlenir.
Uzantıyı oluşturan Javascript dosyaları açısından sadece üç tane var. Uzantının birincil işlevi, işlevselliğinin çoğunu içeren “campaign.js” adlı bir dosyada bulunabilir.
Rapora göre, kampanya.js’nin başlatılması sırasında, sistemin işletim sistemini tanımlamak için window.navigator API’si kullanılıyor. Hedef belirlendikten sonra, kurbanın bilgisayar sisteminin kaynaklarını kullanarak kripto para madenciliği yapmak için bir yöntem olarak kurbanın bilgisayar sistemine bir Javascript dosyası enjekte edilir.
Ardından, daha sonraki işlemler için, aşağıdaki kusurlar için tam zincirli bir istismar içeren cthulhu.js olarak bilinen başka bir komut dosyası enjekte eder:-
- CVE-2019-11708 (Firefox)
- CVE-2019-9810 (Firefox)
- CVE-2014-6332 (Internet Explorer)
- CVE-2016-0189 (Internet Explorer)
- CVE-2016-7200 (Kenar)
Güvenlik açıklarından yararlanıldığı anda, Windows kötü amaçlı yazılımı ana makineye otomatik olarak yüklenir ve yürütülür. Bu, saldırganlara sistemleri tehlikeye atmak ve daha da ciddi kötü amaçlı yazılım saldırıları gerçekleştirmek için daha fazla fırsat verir.
Bu kötü amaçlı yazılımın karmaşık bir şekilde dahil edilmesinden biri, sistemin panosunu kopyalanan veriler için taramaya devam eden bir modül olan “Clipper” olsa da: –
- Şifreler
- Kredi kartları ayrıntıları
Cloud9, web sayfalarına sessizce reklam enjekte etmenin yanı sıra, reklam gösterimleri oluşturarak operatörleri için gelir elde etme yeteneğine de sahiptir.
Cloud9 Botnet İşlevleri
Bu kötü amaçlı yazılımın, tehdit aktörleri tarafından kötü niyetli amaçlarla kötüye kullanılabilecek birkaç temel işlevi vardır ve aşağıda tüm işlevlerinden bahsettik:-
- Kötü niyetli kaynakları almak için kullanılabilecek GET/POST istekleri gönderin.
- Kullanıcı oturumlarını tehlikeye atabilecek CookieStealing.
- Diğer şeylerin yanı sıra şifreleri çalmak için kullanılabilecek keylogging.
- Kurbanın bilgisayarından DDoS saldırıları gerçekleştirmek için kullanılan Katman 4 / Katman 7 hibrit saldırı.
- Sonraki aşama yükler için OS ve Tarayıcı algılama
- Reklamları enjekte etmek için kullanılan arkada açılır pencereleri açın.
- Daha kötü amaçlı kod enjekte etmek için kullanılan diğer kaynaklardan JavaScript Kodunu yürütün.
- Reklamları enjekte etmek veya daha fazla kötü amaçlı kod yerleştirmek için kullanılan web sayfalarını sessizce yükleyin.
- Kurbanın bilgisayar kaynaklarını kripto para birimi madenciliği için kullanmak için tarayıcıda kripto para madenciliği yapın.
- Cihazda kötü amaçlı kod yürüterek cihazın kontrolünü ele geçirmek için kullanılan tarayıcı istismarını gönderin.
Şu an itibariyle, bu olaydan kaç kişinin etkilendiği bilinmiyor. Ancak kanıtlar, kötü amaçlı yazılımın hedef aldığı belirli bir web tarayıcısı veya ülke olmadığı için kötü amaçlı yazılımın kurbanlarının ve saldırı kapsamının sınırlı olmadığını göstermektedir.
Son kampanyada kullanılan C2 etki alanlarından birçoğu, geçmişte Keksec kötü amaçlı yazılım grubu tarafından başlatılan saldırılarda da kullanılmıştı; bu, Cloud9’un arkasındaki bilgisayar korsanlarının bunlarla bağları olduğunu gösteriyor.
Uygulamalar için Yönetilen DDoS Saldırı Koruması – Ücretsiz Kılavuzu İndirin