Cloud9: la botnet che usa estensioni malevoli per prendere il controllo remoto di Chrome

È stata scoperta una nuova botnet nota come Cloud9 che permette ad attaccanti di sfruttare estensioni malevoli di Chrome, per prendere il controllo del browser.

“Questa campagna conferma come la mancanza di cultura di sicurezza da parte degli utenti sia un fattore che sta portando a un cambiamento nella strategia di attacco da parte dei criminali”, commenta Paolo Passeri, Cyber Intelligence Principal di Netskope.

Ecco come proteggersi dal remote access trojan (RAT) per Chromium, dunque per Google Chrome e Microsoft Edge.

La nuova botnet Cloud9

La scoperta della botnet è importante perché Cloud9 permette ai cyber criminali di usare estensioni malevoli del browser Chrome.

Cloud9 è, infatti, un’estensione dannosa per browser dotata di backdoor per i browser basati su Chromium, in grado di svolgere un’ampia gamma di attività cyber crime.

Consente di rubare account online, registrare le sequenze di tasti, iniettare annunci pubblicitari e codice JS dannoso, e arruolare il browser della vittima negli attacchi DDoS.

La botnet Cloud9 per il browser, a tutti gli effetti, è un remote access trojan (RAT) per Chromium, inclusi Google Chrome e Microsoft Edge. Permette ai threat actor di eseguire comandi da remoto.

Le estensioni malevoli di Chrome non sono disponibili nel marketplace ufficiale di Chrome, ma circolano su canali alternativi come quelli che diffondono i falsi aggiornamenti di Adobe Flash Player.

“Questi ultimi”, continua Paolo Passeri, “stanno utilizzando in maniera crescente un modello che richieda una azione esplicita da parte della vittima (derivante da comportamenti imprudenti) come ad esempio l’installazione di una applicazione. Nel caso specifico i ricercatori hanno difatti constatato come il meccanismo più comune per la distribuzione della botnet Cloud9 consista nell’installazione di finti eseguibili relativi a programmi legittimi, e siti web malevoli mascherati da aggiornamenti per Adobe Flash Player, un plugin che appartiene al cimitero di Internet dal 2020 (con l’eccezione della Cina e pochi altri contesti specifici)”.

Come difendersi

Per proteggersi da questi vettori d’attacco, occorre effettuare il download delle estensioni solo dai marketplace ufficiali e soprattutto mantenere aggiornati i sistemi operativi e le applicazioni.

Infatti “è anche preoccupante constatare che alcune funzioni della botnet, come l’installazione di malware sull’endpoint compromesso, richiedano lo sfruttamento di vulnerabilità per cui una patch di sicurezza è disponibile da molti anni (sino al 2014 nel caso di CVE-2014-6332). Questo dimostra scarsa attenzione da parte degli utenti (o delle loro organizzazioni, e questo sarebbe ancora peggio), verso le più basilari norme di sicurezza”, conclude Paolo Passeri.

Bisogna evitare di cliccare su link spediti via social, WhatsApp o email. Inoltre, bisogna potenziare la consapevolezza dei rischi, per minimizzare i pericoli in cui gioca un ruolo cruciale il fattore umano. Dunque, è necessario aumentare l’awareness e rafforzare la formazione, evitando così di diventare vittime di questi attacchi.

In generale, è necessario adottare un’adeguata postura in tema di cyber security per mitigare l’esposizione a questa insidiosa tipologia di attacchi. Serve, in particolare, un approccio ibrido che combini efficaci soluzioni tecnologiche di difesa con la consapevolezza della minaccia da parte degli utenti e con l’applicazione di best practice, soprattutto quando serve installare estensioni nel proprio browser.

FONTE: cybersecurity360