Cloud9 thực chất là một trojan truy cập từ xa (RAT) trên trình duyệt Chromium, bao gồm cả Google Chrome và Microsoft Edge, cho phép tin tặc thực hiện các lệnh tùy ý từ xa. Tiện ích mở rộng này không có sẵn trên cửa hàng Chrome trực tuyến chính thức mà được phân phối thông qua các kênh thay thế, chẳng hạn như các trang web phát hành bản cập nhật Adobe Flash Player giả mạo.
Tiện ích mở rộng độc hại được phân phối qua Adobe Flash Player giả mạo
Cloud9 có khả năng tạo backdoor trên các trình duyệt Chromium để thực hiện một danh sách mở rộng các chức năng và khả năng độc hại. Nó bao gồm 3 tệp JavaScript để thu thập thông tin hệ thống, khai thác tiền điện tử bằng cách sử dụng tài nguyên của máy chủ, thực hiện các cuộc tấn công DDoS và chèn các tập lệnh chạy khai thác trình duyệt.
Zimperium nhận thấy tiện ích này khai thác các lỗ hổng CVE-2019-11708 và CVE-2019-9810 trong Firefox, CVE-2014-6332 và CVE-2016-0189 trên Internet Explorer và CVE-2016-7200 đối với Edge. Những lỗ hổng này được sử dụng để tự động cài đặt và thực thi phần mềm độc hại của Windows trên máy chủ, cho phép tin tặc tiến hành các cuộc xâm nhập hệ thống.
Tuy nhiên, ngay cả khi không có thành phần độc hại này, tiện ích mở rộng Cloud9 có thể đánh cắp cookie từ trình duyệt bị xâm nhập, từ đó các tin tặc có thể sử dụng để chiếm đoạt các phiên hợp lệ và tài khoản của người dùng.
Mã nguồn đánh cắp cookie của trình duyệt
Ngoài ra, phần mềm độc hại còn có tính năng keylogger để ghi lại và theo dõi các thao tác người dùng thực hiện trên bàn phím nhằm đánh cắp mật khẩu và các thông tin nhạy cảm khác.
Một môđun “clipper” cũng có trong tiện ích mở rộng Cloud9, nó liên tục giám sát bộ nhớ đệm tạm thời của hệ thống để tìm mật khẩu hoặc thẻ tín dụng được sao chép.
Mã nguồn mô-đun clipper của Cloud9
Cloud9 cũng có thể chèn quảng cáo bằng cách tải các trang web một cách âm thầm để tạo ra số lần hiển thị quảng cáo. Từ đó, tiện ích này mang lại doanh thu cho các nhà phát triển của nó. Cuối cùng, phần mềm độc hại có thể lợi dụng máy chủ để thực hiện các cuộc tấn công DDoS ở lớp 7 thông qua các yêu cầu HTTP POST đến mục tiêu.
“Các cuộc tấn công ở lớp 7 thường rất khó phát hiện vì kết nối TCP trông rất giống với các yêu cầu hợp lệ. Các tin tặc có khả năng sử dụng mạng botnet này để cung cấp dịch vụ thực hiện tấn công DDoS”, Zimperium nhận xét.
Các tin tặc đứng sau Cloud9 được cho là có liên hệ với nhóm phần mềm độc hại Keksec, vì các miền C2 được sử dụng trong chiến dịch gần đây đã được phát hiện trong các cuộc tấn công trước đó của Keksec Keksec được xác định là nhóm phát triển nhiều mạng lưới botnet, bao gồm: EnemyBot, Tsunamy, Gafgyt, DarkHTTP, DarkIRC và Necro. Bên cạnh đó, việc quảng bá công khai Cloud9 trên các diễn đàn tội phạm mạng khiến Zimperium tin rằng Keksec có khả năng bán hoặc cho các nhà khai thác khác thuê nó.
Hồng Đạt
10:00 | 19/09/2022
11:00 | 19/04/2023
22:00 | 15/08/2022
14:00 | 22/06/2023
09:00 | 25/12/2023
16:00 | 19/12/2023
21:00 | 12/12/2022
10:00 | 03/10/2022
13:00 | 02/12/2022
14:00 | 19/03/2025
Ngày 17/3, Tổng thống Mexico Claudia Sheinbaum xác nhận một trong những thiết bị di động của bà đã bị tin tặc tấn công vài ngày trước, song cơ quan an ninh thông tin đã vào cuộc và vô hiệu hóa thành công cuộc tấn công này.
10:00 | 24/02/2025
GitLab đã ban hành một khuyến cáo bảo mật kêu gọi người dùng cập nhật hệ thống ngay lập tức để khắc phục nhiều lỗ hổng, bao gồm một lỗ hổng Cross-Site Scripting (XSS) nghiêm trọng. Bản cập nhật này áp dụng cho GitLab Community Edition (CE) và Enterprise Edition (EE) với các phiên bản 17.8.2, 17.7.4 và 17.6.5.
08:00 | 29/01/2025
Một chiến thuật tấn công mới đang được tin tặc sử dụng thông qua cách thức "giả mạo mô phỏng giao dịch" để đánh cắp tiền điện tử, mới đây trên ScamSniffer (trang web chuyên đăng tải các bài báo về phòng, chống lừa đảo mạng) đã công bố một vụ tấn công sử dụng hình thức này gât thiệt hại 143,45 Ethereum (ETH) với trị giá khoảng 460.000 USD.
21:00 | 26/01/2025
Trong vài năm qua, nhóm tin tặc Lazarus đã phân phối phần mềm độc hại bằng cách khai thác các cơ hội việc làm giả mạo nhắm vào nhân viên trong nhiều ngành công nghiệp khác nhau, bao gồm quốc phòng, hàng không vũ trụ, tiền điện tử và các lĩnh vực toàn cầu khác. Chiến dịch tấn công này được gọi là DeathNote và cũng được gọi là “Operation DreamJob”. Bài viết sẽ cung cấp tổng quan về những thay đổi đáng kể trong chuỗi lây nhiễm của Lazarus và khám phá cách chúng kết hợp việc sử dụng các mẫu phần mềm độc hại mới và cũ để điều chỉnh các cuộc tấn công.
22:00 | 30/01/2025|Giải pháp khác
08:00 | 29/01/2025|Công nghệ thông tin
Juniper Networks đã phát hành bản vá khẩn cấp để giải quyết một lỗ hổng bảo mật đang bị khai thác tích cực trong hệ điều hành Junos OS định danh CVE-2025-21590. Lỗ hổng này cho phép kẻ tấn công cục bộ có thể thực thi mã tùy ý, ảnh hưởng đến nhiều phiên bản của Junos OS. Kẻ tấn công có quyền truy cập cao có thể tiêm mã tùy ý và làm tổn hại đến thiết bị bị ảnh hưởng.
10:00 | 21/03/2025
