L’acteur de la menace Keksec a été lié à une souche de logiciels malveillants auparavant non documentée, qui a été observée dans la nature se faisant passer pour une extension des navigateurs Web basés sur Chromium pour asservir les machines compromises dans un botnet.
Appelé Cloud 9 par la société de sécurité Zimperium, le module complémentaire de navigateur malveillant est livré avec un large éventail de fonctionnalités qui lui permettent de siphonner les cookies, d’enregistrer les frappes au clavier, d’injecter du code JavaScript arbitraire, d’exploiter la cryptographie et même d’enrôler l’hôte pour mener des attaques DDoS.
L’extension « vole non seulement les informations disponibles pendant la session du navigateur, mais peut également installer des logiciels malveillants sur l’appareil d’un utilisateur et ensuite prendre le contrôle de l’ensemble de l’appareil », a déclaré Nipun Gupta, chercheur chez Zimperium. a dit dans un nouveau rapport.
Le botnet JavaScript n’est pas distribué via Chrome Web Store ou Microsoft Edge Add-ons, mais plutôt via de faux exécutables et des sites Web malveillants déguisés en mises à jour Adobe Flash Player.
Une fois installée, l’extension est conçue pour injecter un fichier JavaScript appelé « campaign.js » sur toutes les pages, ce qui signifie que le logiciel malveillant pourrait également fonctionner comme un morceau de code autonome sur n’importe quel site Web, légitime ou non, menant potentiellement à des attaques de point d’eau.
Le code JavaScript prend la responsabilité des opérations de cryptojacking, abusant des ressources informatiques de la victime pour extraire illégalement des crypto-monnaies, ainsi que pour injecter un deuxième script nommé « cthulhu.js ».
Cette chaîne d’attaque, à son tour, exploite les failles des navigateurs Web tels que Mozilla Firefox (CVE-2019-11708, CVE-2019-9810), Internet Explorer (CVE-2014-6332, CVE-2016-0189) et Bord (CVE-2016-7200) pour échapper au bac à sable du navigateur et déployer des logiciels malveillants sur le système.
Le script agit en outre comme un enregistreur de frappe et un conduit pour lancer des commandes supplémentaires reçues d’un serveur distant, lui permettant de voler des données de presse-papiers, des cookies de navigateur et de lancer Attaques DDoS de couche 7 contre n’importe quel domaine.
Zimperium a attribué le logiciel malveillant à un acteur de menace suivi sous le nom de Keksec (alias Kek Security, Necro et FreakOut), qui a l’habitude de développer une large gamme de logiciels malveillants de botnet, y compris EnemyBot, pour l’extraction de crypto et les opérations DDoS.
La connexion à Keksec provient de chevauchements dans les domaines précédemment identifiés comme utilisés par le groupe de logiciels malveillants.
Le fait que Cloud9 soit basé sur JavaScript et qu’il soit proposé gratuitement ou moyennant un petit supplément sur les forums de pirates informatiques permet aux cybercriminels moins qualifiés d’accéder facilement à des options peu coûteuses pour lancer des attaques ciblant différents navigateurs et systèmes d’exploitation.
La divulgation intervient plus de trois mois après que Zimperium a découvert un module complémentaire de navigateur malveillant appelé ABCsoup qui se présentait comme un outil de traduction Google pour frapper les utilisateurs russes des navigateurs Google Chrome, Opera et Mozilla Firefox.
« Les utilisateurs doivent être formés sur les risques associés aux extensions de navigateur en dehors des référentiels officiels, et les entreprises doivent réfléchir aux contrôles de sécurité qu’elles ont mis en place pour ces risques », a déclaré Gupta.