#SecurityUpdate | พบส่วนขยายที่เป็นอันตรายทำให้ผู้โจมตีสามารถควบคุม Google Chrome จากระยะไกลได้
เว็บไซต์ bleeping computer รายงานข่าวการค้นพบบ็อตเน็ตเบราว์เซอร์ Chrome ใหม่ที่ชื่อ 'Cloud9' ซึ่งเป็นโทรจันที่ทำให้ผู้คุกคามสามารถเข้าถึงคอมพิวเตอร์ได้จากระยะไกล (RAT) และสามารถติดตั้งได้ในเว็บเบราว์เซอร์ Chromium รวมถึง Google Chrome และ Microsoft Edge
การค้นพบในครั้งนี้มีขึ้นโดยนักวิจัยที่ Zimperium และรายงานข่าวผ่านเว็บไซต์ bleeping computer หลังจากพบความผิดปกติของการติดตั้ง Cloud9 บนระบบต่าง ๆ ทั่วโลก ซึ่งส่วนขยายเหล่านี้ภายในประกอบไปด้วยไฟล์ JavaScript สามไฟล์สำหรับการรวบรวมข้อมูลระบบ การขุด cryptocurrency โดยใช้ทรัพยากรของโฮสต์ การโจมตี DDoS และการฉีดสคริปต์ที่เรียกใช้ช่องโหว่ของเบราว์เซอร์
อย่างไรก็ตาม แม้จะไม่มีส่วนประกอบมัลแวร์ของ Windows ส่วนขยาย Cloud9 ก็สามารถขโมยคุกกี้จากเบราว์เซอร์ที่ถูกบุกรุก ซึ่งผู้คุกคามสามารถใช้เพื่อเข้าควบคุมบัญชีได้ นอกจากนี้ มัลแวร์ยังมีคีย์ล็อกเกอร์ที่สามารถสอดแนมการกดปุ่มเพื่อขโมยข้อมูลรหัสผ่านและข้อมูลสำคัญอื่นๆ ได้อีกด้วย
จากรายงานของ Zimperium ระบุเพิ่มเติมว่าแฮ็กเกอร์ที่อยู่เบื้องหลัง Cloud9 เชื่อว่ามีความเกี่ยวข้องกับกลุ่มมัลแวร์ Keksec เนื่องจากโดเมน C2 ที่ใช้ในแคมเปญล่าสุดถูกพบเห็นในการโจมตีครั้งก่อนของ ทั้งนี้ Keksec ยังรับผิดชอบในการพัฒนาและดำเนินโครงการบ็อตเน็ตหลายโครงการ รวมถึง EnemyBot , Tsunamy, Gafgyt, DarkHTTP, DarkIRC และ Necro และจากข้อมูลล่าสุดพบว่า เหยื่อของ Cloud9 แพร่กระจายไปทั่วโลก และภาพหน้าจอที่โพสต์โดยผู้คุกคามบนฟอรัมระบุว่าพวกเขากำหนดเป้าหมายไปที่เบราว์เซอร์ต่างๆ นอกจากนี้ การประชาสัมพันธ์ Cloud9 สู่สาธารณะบนฟอรัมอาชญากรรมทางอินเทอร์เน็ตทำให้ Zimperium เชื่อว่า Keksec มีแนวโน้มที่จะขาย/ให้เช่าให้กับผู้ให้บริการรายอื่น