Ektensi Berbahaya Mungkinkan Penyerang Mengontrol Google Chrome dari Jarak Jauh

Cyberthreat.id – peneliti kemanan di Zimperium mengungkapkan bahwa pihaknya menemukan botnet browser Chrome baru bernama 'Cloud9' yang memungkinkan penjahat siber untuk mengontrol akun Google Chrome di perangkat pengguna dari jarak jauh,

Botnet ini menggunakan ekstensi berbahaya untuk mencuri akun online, mencatat penekanan tombol, menyuntikkan iklan dan kode JS berbahaya, serta mendaftarkan browser korban dalam serangan DDoS.

Dikutip dari Bleeping Computer, botnet browser Cloud9 secara efektif merupakan trojan akses jarak jauh (RAT) untuk browser web Chromium, termasuk Google Chrome dan Microsoft Edge, yang memungkinkan pelaku ancaman untuk mengeksekusi perintah dari jarak jauh.

Peneliti mengatakan, ekstensi Chrome berbahaya tidak tersedia di toko web Chrome resmi, melainkan diedarkan melalui saluran alternatif, seperti situs web yang mendorong pembaruan Adobe Flash Player palsu. Metode ini tampaknya bekerja dengan baik, karena para peneliti di Zimperium melaporkan hari ini bahwa mereka telah melihat infeksi Cloud9 pada sistem di seluruh dunia.

“Cloud9 merupakan ekstensi browser berbahaya yang membuka pintu belakang browser Chromium untuk melakukan daftar ekstensif fungsi dan kemampuan berbahaya,“ kata peneliti.

Peneliti menjelaskan, ekstensi terdiri dari tiga file JavaScript untuk mengumpulkan informasi sistem, menambang cryptocurrency menggunakan sumber daya host, melakukan serangan DDoS, dan menyuntikkan skrip yang menjalankan eksploitasi browser. Dengan pemuatan eksploit untuk kerentanan CVE-2019-11708 dan CVE-2019-9810 di Firefox, CVE-2014-6332 dan CVE-2016-0189 untuk Internet Explorer, dan CVE-2016-7200 untuk Edge.

Kerentanan ini digunakan untuk menginstal dan mengeksekusi malware Windows secara otomatis di host, memungkinkan penyerang untuk melakukan kompromi sistem yang lebih signifikan. Namun, walau tanpa komponen malware Windows, ekstensi Cloud9 dapat mencuri cookie dari browser yang disusupi, yang dapat digunakan oleh pelaku ancaman untuk membajak sesi pengguna yang valid dan mengambil alih akun.

Selain itu, malware ini memiliki fitur keylogger yang dapat mengintip penekanan tombol untuk mencuri kata sandi dan informasi sensitif lainnya. Modul "clipper" juga hadir dalam ekstensi, terus memantau clipboard sistem untuk kata sandi atau kartu kredit yang disalin.

“Cloud9 juga dapat menyuntikkan iklan dengan memuat halaman web secara diam-diam untuk menghasilkan tayangan iklan dan, dengan demikian, pendapatan bagi operatornya,”

Terakhir, malware dapat meminta daya tembak host untuk melakukan serangan DDoS layer 7 melalui permintaan HTTP POST ke domain target. Serangan lapisan 7 biasanya sangat sulit dideteksi karena koneksi TCP terlihat sangat mirip dengan permintaan yang sah.

“Pengembang kemungkinan menggunakan botnet ini untuk menyediakan layanan untuk melakukan DDOS,” kata peneliti.

Peretas di balik Cloud9 diyakini memiliki hubungan dengan grup malware Keksec karena domain C2 yang digunakan dalam kampanye baru-baru ini terlihat dalam serangan Keksec sebelumnya. Keksec bertanggung jawab untuk mengembangkan dan menjalankan beberapa proyek botnet, termasuk EnemyBot, Tsunamy, Gafgyt, DarkHTTP, DarkIRC, dan Necro.

Korban Cloud9 tersebar di seluruh dunia, dan tangkapan layar yang diposting oleh aktor ancaman di forum menunjukkan bahwa mereka menargetkan berbagai browser. Selain itu, promosi publik Cloud9 di forum kejahatan dunia maya membuat Zimperium percaya bahwa Keksec kemungkinan akan menjual/menyewakannya ke operator lain.