Il team di Zimperium zLabs ha recentemente scoperto un’estensione browser malevola, che non solo potrebbe rubare le informazioni disponibili durante una sessione web, ma potrebbe anche installare malware sul dispositivo di un utente e successivamente assumerne il controllo.
Questa estensione del browser, chiamata Cloud9 dall’autore del malware, sarebbe stata distribuita con tecniche di tipo sideloading tramite file eseguibili e siti Web camuffati da aggiornamenti Adobe Flash Player.
Cloud9, le funzionalità
Le principali funzionalità di questo malware che secondo il team di ricerca agirebbe come un trojan di accesso remoto (RAT) colpendo i browser basati su Chromium (inclusi Google Chrome e Microsoft Edge) sarebbero:
- Inviare richieste GET/POST per ottenere risorse malevole.
- CookieStealing, per compromettere le sessioni dell’utente.
- Keylogging.
- Attacco ibrido sui livelli 4 e 7 dello stack protocollare, per eseguire attacchi DDos dal PC della vittima.
- Rilevare versione del sistema operativo e del browser del PC vittima.
- Aprire Pop-under per iniettare annunci.
- Eseguire codice JavaScript da altre fonti, utilizzato per iniettare ulteriore codice dannoso.
- Caricare silenziosamente pagine Web, per iniettare annunci o altro codice dannoso.
- utilizzare le risorse del computer della vittima per estrarre criptovaluta.
- eseguire codice dannoso nel dispositivo sfruttando degli exploit dei browser per assumere il controllo del dispositivo stesso. Sarebbero stati sfruttati i difetti dei browser Mozilla Firefox ( CVE-2019-11708 , CVE-2019-9810 ), Internet Explorer ( CVE-2014-6332 , CVE-2016-0189 ) ed Edge ( CVE -2016-7200 ).
La botnet JavaScript
Come detto, la botnet JavaScript non verrebbe distribuita tramite Web Store o componenti aggiuntivi ma piuttosto tramite falsi eseguibili e siti Web non autorizzati mascherati da aggiornamenti di Adobe Flash Player.
Una volta installata, l’estensione inietterebbe un file JavaScript denominato “campaign.js” su tutte le pagine http/https. Tale script potrebbe essere installato anche tramite reindirizzamenti verso siti di terze parti compromessi.
“L’estensione del browser contiene solo tre file javascript e la funzionalità principale dell’estensione è disponibile in un file denominato campaign.js . Abbiamo identificato che questo JavaScript può essere utilizzato anche in modalità standalone e quindi può essere utilizzato reindirizzando le vittime a un sito Web dannoso che contiene lo script campaign.js. In questa estensione dannosa, il file manifest.json inietta campaign.js in tutte le pagine http/https“, si legge nel rapporto Zimperium.
Considerazioni finali
Zimperium avrebbe attribuito il malware a un attore di minacce identificato come Keksec, già noto per avere sviluppato un’ampia gamma di malware botnet per operazioni di mining di criptovalute e attacchi DDoS, constatando come, con questo malware in particolare, l’attore malevolo stia cercando di aumentare la propria superficie di attacco prendendo di mira tutti i browser e i sistemi operativi.
Inoltre il fatto che Cloud9 sia offerto come servizio sui forum underground a basso costo ne accrescerebbe la pericolosità soprattutto perché sarebbe fruibile anche da parte di operatori malware meno esperti.
Per proteggersi da questi canali d’attacco, occorre mantenere sempre aggiornati sistemi operativi, applicazioni e estensioni browser riferendosi esclusivamente solo a fonti ufficiali.
Per l’appunto l’analista Nipun Gupta di Zimperium, avverte che “Gli utenti dovrebbero essere formati sui rischi associati alle estensioni browser [reperiti] al di fuori dei repository ufficiali e le aziende dovrebbero considerare quali controlli di sicurezza hanno in atto per tali rischi“.
