Keksec tehdit aktörü, Chromium tabanlı web tarayıcılarının güvenliği ihlal edilmiş makineleri bir botnet’e köleleştirmesi için bir uzantı olarak vahşi maskelemede gözlemlenen daha önce belgelenmemiş bir kötü amaçlı yazılım türüyle ilişkilendirildi.
Aranan Bulut 9 Güvenlik firması Zimperium tarafından geliştirilen kötü amaçlı tarayıcı eklentisi, çerezleri sifonlamasına, tuş vuruşlarını kaydetmesine, isteğe bağlı JavaScript kodu eklemesine, kripto madenciliği yapmasına ve hatta ana bilgisayarı DDoS saldırıları gerçekleştirmesi için görevlendirmesine olanak tanıyan çok çeşitli özelliklerle birlikte gelir.
Zimperium araştırmacısı Nipun Gupta yeni bir raporda, uzantı “yalnızca tarayıcı oturumu sırasında mevcut bilgileri çalmakla kalmaz, aynı zamanda bir kullanıcının cihazına kötü amaçlı yazılım yükleyebilir ve ardından tüm cihazın kontrolünü üstlenebilir” dedi.
JavaScript botnet, Chrome Web Mağazası veya Microsoft Edge Eklentileri aracılığıyla değil, Adobe Flash Player güncellemeleri kılığında sahte yürütülebilir dosyalar ve sahte web siteleri aracılığıyla dağıtılır.
Uzantı yüklendikten sonra, tüm sayfalara “campaign.js” adlı bir JavaScript dosyasını enjekte etmek üzere tasarlanmıştır; bu, kötü amaçlı yazılımın, yasal veya başka türlü, potansiyel olarak susuzluk saldırılarına yol açan herhangi bir web sitesinde bağımsız bir kod parçası olarak çalışabileceği anlamına gelir.
JavaScript kodu, kripto para hırsızlığı operasyonlarının sorumluluğunu üstlenir, kurbanın bilgi işlem kaynaklarını yasadışı bir şekilde kripto para madenciliği yapmak için kötüye kullanır ve “cthulhu.js” adlı ikinci bir komut dosyasını enjekte eder.
Bu saldırı zinciri de Mozilla Firefox (CVE-2019-11708, CVE-2019-9810), Internet Explorer (CVE-2014-6332, CVE-2016-0189) ve Edge (CVE) gibi web tarayıcılarındaki kusurlardan yararlanır. -2016-7200) tarayıcı sanal alanından kaçmak ve sisteme kötü amaçlı yazılım dağıtmak için.
Komut dosyası ayrıca bir keylogger ve uzak bir sunucudan alınan ek komutları başlatmak için bir kanal görevi görür ve pano verilerini, tarayıcı çerezlerini çalmasına ve herhangi bir etki alanına karşı katman 7 DDoS saldırıları başlatmasına olanak tanır.
Zimperium, kötü amaçlı yazılımı, kripto madenciliği ve DDoS operasyonları için EnemyBot da dahil olmak üzere çok çeşitli botnet kötü amaçlı yazılımları geliştirme geçmişine sahip Keksec (aka Kek Security, Necro ve FreakOut) olarak izlenen bir tehdit aktörüne bağladı.
Keksec ile bağlantı, daha önce kötü amaçlı yazılım grubu tarafından kullanıldığı belirlenen alanlardaki çakışmalardan geliyor.
Cloud9’un JavaScript tabanlı olması ve bilgisayar korsanı forumlarında ücretsiz veya küçük bir ücret karşılığında sunulması, daha az beceriye sahip siber suçluların farklı tarayıcıları ve işletim sistemlerini hedefleyen saldırılar başlatmak için düşük maliyetli seçeneklere kolayca erişmesini mümkün kılıyor.
Açıklama, Zimperium’un, Google Chrome, Opera ve Mozilla Firefox tarayıcılarının Rus kullanıcılarına saldırmak için bir Google Çeviri aracı gibi görünen ABCsoup adlı kötü amaçlı bir tarayıcı eklentisini keşfetmesinden üç ay sonra geldi.
Gupta, “Kullanıcılar, resmi depoların dışındaki tarayıcı uzantılarıyla ilişkili riskler konusunda eğitilmelidir ve işletmeler, bu tür riskler için hangi güvenlik kontrollerine sahip olduklarını düşünmelidir.” Dedi.