恶意的“Cloud9” Chrome 扩展程序像远程访问特洛伊木马一样运作

谨慎使用Chrome扩展程序防止恶意软件

关键要点

根据Zimperium zLabs的报告，一款名为“Cloud9”的Chrome扩展程序被发现窃取会话信息，并进一步安装恶意软件以控制整个设备。照片由Justin Sullivan/Getty Images提供

编者注 本故事在11月11日更新，加入了Google发言人的评论，评论在最初发布后提供。

研究人员近期发现了一款恶意Chrome浏览器扩展程序，即“Cloud9”，其会窃取浏览器会话中的信息，然后安装恶意软件以控制整个设备。

在周二的博客文章中，Zimperium zLabs团队解释称，Cloud9的行为类似于远程访问木马RAT，并执行至少十种不同的恶意活动，包括盗取cookies、记录键盘输入、进行Layer 4/Layer 7混合攻击，以及操作系统和浏览器检测用于下一步的有效载荷。

研究人员还指出，该恶意软件源于Keksec恶意软件组织，该组织最早于2016年由僵尸网络参与者成立，因其DDoS和基于挖矿的恶意软件而闻名。

Cloud9恶意软件的最大问题在于它能够避开现有的端点检测系统，Viakoo首席执行官Bud Broomhead表示，这进一步强化了威胁行为者旨在绕过传统安全解决方案的趋势，在本例中是现有的端点恶意软件检测系统。

Broomhead说：“这类似于威胁行为者针对IoT/OT系统的方式，而这些系统并未受到传统IT安全解决方案的保护。许多浏览器作为操作技术设备的接口，具体用于访问管理和控制这些系统的控制台。这可能成为IoT/OT设备被利用的途径。”

Netenrich的首席威胁猎手John Bambenek补充道，该恶意软件主要利用较旧的浏览器漏洞，因此安全团队应该保持浏览器的更新和修补。

“话虽如此，任何在浏览器中添加的功能或扩展，或配置更改都可能带来重大安全影响。” Bambenek说，“浏览器配置应该受到严格控制，并且只允许安装特定的浏览器扩展。”

Deep Instinct的网络情报工程经理Matthew Fulmer称Cloud9为“一种相对麻烦的RAT”，该程序除利用机器资源挖矿外，还能投放二阶段恶意软件。Fulmer表示，其独特之处在于它可以作为恶意可执行程序的一部分，同时以独立程序的形式运行，并通过远程交付到机器并执行。

“第二部分是最危险的，涉及到安全界广泛讨论的一个问题点击可疑链接。”Fulmer解释说，“所需的只是将恶意JavaScript文件嵌入到带有脚本钩的站点中，就可以轻松武器化您希望的任何站点。如果有人获得大型搜索引擎如Google的访问权限，并在页面的末尾嵌入该脚本，他们能影响多少人，能够通过收集凭据拓展他们的网有多广？”

Google的发言人指出，该恶意扩展程序并不在这个科技巨头的官方商店中，并补充道：“我们始终建议用户更新到最新版本的Google Chrome，以确保他们获得最新的安全保护。用户还可以通过在Chrome的隐私和安全设置中启用增强保护来更好地保护自己免受恶意可执行文件和网站的侵害。增强保护会自动警告您有潜在风险的网站和下载，并检查您下载的安全性，警告您某个文件可能危险。”