内容摘要：最近Zimperium 的研究人员发现了一个新的名为“Cloud9”的 Chrome 浏览器僵尸网络，它使用恶意扩展来窃取在线帐户、记录击键、注入广告和恶意 JS 代码，并让受害者的浏览器参与 DDo

最近Zimperium 的注意展研究人员发现了一个新的名为“Cloud9”的 Chrome 浏览器僵尸网络 ，它使用恶意扩展来窃取在线帐户、个新歌浏记录击键 、恶的谷注入广告和恶意 JS 代码，意扩远程并让受害者的控制浏览器参与 DDoS 攻击 。

Cloud9 浏览器实际上是览器 Chromium Web 浏览器（包括 Google Chrome 和 Microsoft Edge）的远程访问木马 (RAT)，其作用是注意展允许攻击者远程执行命令 。服务器租用

恶意 Chrome 扩展程序在官方 Chrome 网上商店中不可用 ，个新歌浏而是恶的谷通过其他渠道传播
，例如推送虚假 Adob​​e Flash Player 更新的意扩远程网站
。

这种方法似乎运作良好，控制因为根据Zimperium 的览器研究人员报告说
，他们已经在全球系统上看到了 Cloud9 感染。注意展

感染浏览器

Cloud9 是个新歌浏一个恶意浏览器扩展，它对 Chromium 浏览器进行感染，恶的高防服务器谷以执行大量的恶意功能。

该扩展工具由三个 JavaScript 文件组成，用于收集系统信息 、使用主机资源挖掘加密货币、执行 DDoS 攻击以及注入运行浏览器漏洞的脚本。

Zimperium 注意到它还加载了针对 Firefox 中的 CVE-2019-11708 和 CVE-2019-9810 漏洞 、Internet Explorer 的 CVE-2014-6332 和 CVE-2016-0189 以及 Edge 的 CVE-2016-7200 漏洞的利用 。

这些漏洞用于在主机上自动安装和执行 Windows 恶意软件 ，模板下载使攻击者能够进行更深入的系统入侵。

然而，即使没有 Windows 恶意软件组件 ，Cloud9 扩展也可以从受感染的浏览器中窃取 cookie ，攻击者可以使用这些 cookie 劫持有效的用户会话并接管帐户。

此外 ，该恶意软件具有一个键盘记录器，可以窥探按键以窃取密码和其他敏感信息。

扩展中还存在一个“剪辑器”模块 ，不断监视系统剪贴板中是否有复制的云计算密码或信用卡。

Cloud9 还可以通过静默加载网页来注入广告，从而产生广告展示  ，为其运营商带来收入。

最后 ，恶意软件可以利用主机通过对目标域的 HTTP POST 请求执行第 7 层 DDoS 攻击。

“第 7 层攻击通常很难检测 
，因为 TCP 连接看起来与正常请求非常相似” ，Zimperium 评论道。

开发人员很可能会使用这个僵尸网络来提供执行 DDOS 的服务。

运算符和目标

Cloud9 背后的黑客有可能与 Keksec 恶意软件组织有联系 ，源码下载因为在最近的活动中使用的 C2 域在 Keksec 过去的攻击中被发现  。

Keksec 负责开发和运行多个僵尸网络项目 ，包括EnemyBot 、Tsunamy、Gafgyt 、DarkHTTP、DarkIRC 和 Necro 。

Cloud9 的受害者遍布全球，攻击者在论坛上发布的屏幕截图表明他们针对各种浏览器 。建站模板

此外，在网络犯罪论坛上公开宣传 Cloud9 导致 Zimperium 相信 Keksec 可能会将其出售/出租给其他运营商 。