Ein Cloud9-Hacker, nachdem er gerade einen DDoS-Angriff gestartet hat (Symbolbild)
Ein Cloud9-Hacker, nachdem er gerade einen DDoS-Angriff gestartet hat (Symbolbild)
Bildquelle: minervastock, Lizenz

Cloud9: Chrome-Erweiterung dient Hackern für DDoS-Angriffe

Nebenbei können die Cloud9-Hacker auch Anmeldeinformationen von infizierten Systemen stehlen und bei Bedarf weitere Malware nachladen.

Sicherheitsforscher haben ein neues Botnetz mit dem Namen „Cloud9“ identifiziert, das auf einer Chrome-Erweiterung basiert. Darüber verschaffen sich die Angreifer eine umfassende Kontrolle über infizierte Systeme, die es ihnen mitunter erlaubt, massenhaft Benutzerkonten zu stehlen und Layer-7-DDoS-Angriffe auszuführen.

Cloud9-Botnetz nutzt Chrome-Erweiterung für vielfältige Zwecke

Ein neues, von Zimperium-Sicherheitsforschern entdecktes Botnetz unter dem Namen „Cloud9“ macht sich einen Remote-Access-Trojaner (RAT) in Form einer Chrome-Erweiterung zunutze, um Anmeldeinformationen zu stehlen, Tastenanschläge zu protokollieren, Werbung und schadhaften JavaScript-Code einzuschleusen sowie die Rechner seiner Opfer für DDoS-Angriffe zu missbrauchen. Neben Googles Chrome sind auch andere Chromium-basierte Webbrowser betroffen. Darunter ebenso der weitverbreitete Edge von Microsoft.

Die bösartige Chrome-Erweiterung gelangt jedoch nicht wie üblich über den Chrome-Webstore auf die Systeme der Opfer. Stattdessen nutzen die Akteure hinter Cloud9 eigene Webseiten, die vermeintliche Updates für den Adobe Flash Player verbreiten. Statt dieses Updates erhalten die Besucher jedoch die schadhafte Browsererweiterung, die es den Angreifern ermöglicht, auf infizierten Systemen Befehle aus der Ferne auszuführen.

Hacker erhalten umfassende Kontrolle über infizierte Systeme

Wie BleepingComputer berichtet, besteht die Chrome-Extension im Kern aus drei JavaScript-Dateien. Sie erlaubt es den Cloud9-Akteuren mitunter Systeminformationen zu sammeln, Kryptowährungen zu schürfen, Systemressourcen für DDoS-Angriffe zu nutzen und beliebige schadhafte Skripte nachzuladen. Durch gezieltes Ausnutzen von Schwachstellen in den betroffenen Browsern können die Hacker weitere Malware auf dem Betriebssystem installieren und damit das Ausmaß ihrer Kontrolle ausweiten.

Die Cloud9-Chrome-Erweiterung ist jedoch laut dem Bericht der Forscher schon von sich aus in der Lage, Benutzerkonten zu übernehmen, indem sie Cookies stiehlt und durch einen Keylogger sämtliche Tastatureingaben ihrer Opfer ausspäht. Darunter befinden oftmals auch Kennwörter und andere sensible Informationen, die die Schadsoftware ebenfalls aus der Zwischenablage des Systems lesen kann.

Cloud9 ermöglich Layer-7-DDoS-Angriffe

Obendrein kann die Chrome-Extension auch noch unbemerkt Webseiten inklusive Werbeeinblendungen laden sowie Layer-7-DDoS-Angriffe ausführen. „Layer-7-Angriffe sind in der Regel sehr schwer zu erkennen, da die TCP-Verbindung legitimen Anfragen sehr ähnlich sieht„, warnen die Sicherheitsforscher. Des Weiteren sei anzunehmen, dass die Cloud9-Akteure einen Dienst zur Durchführung von DDoS-Attacken anbieten.

Die Forscher vermuten außerdem, dass die Hacker hinter Cloud9 Verbindungen zur Keksec-Malwaregruppe haben. Diese ist für die Entwicklung und den Betrieb mehrerer Botnetze verantwortlich, darunter EnemyBot, Tsunamy, Gafgyt, DarkHTTP, DarkIRC und Necro.

Generell sind Chrome-Erweiterungen beliebte Werkzeuge für Hacker, um die Systeme ihrer Anwender für vielfältige Zwecke zu missbrauchen. Über derartige Fälle hatten wir in der Vergangenheit bereits mehrfach berichtet.

Über

Marc Stöckel hat nach seiner Ausbildung zum IT-Systemelektroniker und einem Studium im Bereich der technischen Informatik rund 5 Jahre als Softwareentwickler gearbeitet. Um seine technische Expertise sowie seine Sprachfertigkeiten weiter auszubauen, schreibt er seit dem Sommer 2022 regelmäßig Artikel zu den Themenbereichen Software, IT-Sicherheit, Datenschutz, Cyberkriminalität und Kryptowährungen.