Cloud9 Chrome Botnet
Cloud9 Chrome Botnetというものが観測されています。
名前の通りbotnetです。
- 入口
Chromeのブラウザエクステンションとして実装されています。
このためChromeでも動作しますし、Microsoft Edgeでも動作します。 - 機能
GET/POSTリクエストによるファイル取得機能、Cookie取得機能、クリップボード取得機能、キーロガー機能、DDsSボット機能、マイニング機能などがあります。 - 拡張性
このマルウェアは拡張性を持っています。
OSやブラウザの種別を検出し、その結果をもとに別のペイロードを取得します。 - 他のブラウザもターゲット
入口はChromeエクステンションですが、活動を開始すると他のブラウザもターゲットにします。
FirefoxもInternet Explorerも狙います。
それぞれに存在する脆弱性を悪用し、活動を広げます。
データの取得などの活動にとどまらず、新規のユーザ作成まで実施する可能性があります。
このマルウェアは実装形式としてはブラウザエクステンションです。
しかし公式のブラウザ拡張ストアでは確認されていません。
いくつかの始まり方があるようですが、Adobe Flash Playerの更新を装った偽の実行可能ファイルとして入ってくるケースと悪意のあるWebサイトを訪問したことによるサイドローディングで感染するケースとが多く確認されています。
Adobe Flash Playerは2年くらい前に終了していますが、まだその更新が攻撃手法として成り立つのですね。
そういうパソコンを使っている人をターゲットにすると感染しやすいとか、そういう狙いなのかもしれません。
参考記事(外部リンク):The Case of Cloud9 Chrome Botnet
www.zimperium.com/blog/the-case-of-cloud9-chrome-botnet/
