О вредоносном расширении сообщили специалисты Zimperium, которые и назвали его Cloud9. Как говорят исследователи, вредонос умеет перехватывать cookie-файлы, фиксировать нажатия клавиш, внедрять произвольный JavaScript-код, майнить криптовалюту и использовать зараженное устройство для проведения DDoS-атак. Помимо кражи информации, ботнет способен установить вредоносное ПО на устройство жертвы, чтобы позже взять его под полный контроль.
Вредоносный аддон не найти в официальных магазинах расширений для Chrome или Edge, он распространяется только через сомнительные веб-сайты, предлагающие пользователям скачать Cloud9, замаскированный под обновление Adobe Flash Player.
Как только жертва устанавливает расширение, оно сразу же внедряет JS-файл под названием “campaign.js” на все страницы, после чего начинает майнить криптовалюту на устройстве жертвы, а затем внедряет скрипт под названием “cthulhu.js”.
Второй скрипт использует уязвимость веб-браузеров Mozilla Firefox ( CVE-2019-11708, CVE-2019-9810 ), Internet Explorer ( CVE-2014-6332 , CVE-2016-0189 ) и Edge ( CVE-2016-7200 ), чтобы сбежать из “песочницы” и развернуть вредоносное ПО в системе.
После этого скрипт начинает работать как кейлоггер и канал для запуска дополнительных команд, полученных с сервера злоумышленников, что позволяет ему красть данные из буфера обмена, cookie-файлы и запускать DDoS-атаки.
Исследователи Zimperium считают, что за разработкой Cloud9 стоит группировка Keksec (она же Kek Security, Necro и FreakOut), которая имеет большой опыт в разработке ботнетов. Одно из ее творений – печально известный EnemyBot, который использовался злоумышленниками для майнинга криптовалют и проведения DDoS-атак.