I ricercatori di Zimperium hanno scoperto un’estensione per Chrome e altri browser basati su Chromium, denominata Cloud9, che nasconde un RAT (Remote Access Trojan) in grado di eseguire numerose attività pericolose, tra cui l’uso del PC per attacchi DDoS. Fortunatamente il pericolo viene rilevato e bloccato dalla maggioranza delle soluzioni di sicurezza sul mercato.
Cloud9 prende il controllo del computer
Cloud9 non è presente sugli store ufficiali delle estensioni, ma viene distribuita tramite terze parti, tra cui siti che invitano l’utente a scaricare aggiornamenti per Adobe Flash Player (ovviamente fake, dato che il plugin è defunto da quasi due anni). L’ultima versione, analizzata da Zimperium, contiene tre file JavaScript che offrono le “funzionalità” del malware, alcune delle quali vengono attivate dal server C&C (command and control).
Cloud9 può rubare i cookie di sessione (quindi consentire il furto degli account) e i dati nella clipboard, registrare i tasti premuti (keylogging), iniettare inserzioni nelle pagine web e sfruttare vecchie vulnerabilità dei browser per ottenere i privilegi di amministratore, installare malware e prendere il controllo del computer.
Zimperium attribuisce l’origine del malware al gruppo Keksec, responsabile dello sviluppo di numerose botnet. Gli attacchi sono stati effettuati in diversi paesi contro utenti privati e aziendali. È quindi consigliata l’installazione di una soluzione di sicurezza come Avast Premium Security. Ovviamente le estensioni devono essere scaricate solo dagli store ufficiali.
Un portavoce di Google ha suggerito di attivare la funzionalità di protezione avanzata di Chrome che mostra un avviso per siti, estensioni e download potenzialmente rischiosi.