Een nieuwe security rapport geeft aan dat de nieuw ontdekte DroidClub Botnet infecteert doelwitten via malware Google Chrome-extensies. Volgens de analyse van het virus heeft al in geslaagd om meer dan een half miljoen gebruikers wereldwijd te infecteren door middel van meerdere instanties die actief zijn op de officiële plugin repository gehost door Google. De infecties leiden tot verwoestende gevolgen, lees verder voor meer informatie over de aard van de dreiging uit te vinden en hoe je jezelf kunt beschermen tegen inkomende aanvallen.
De Droidclub Botnet Attacks verspreiden via Google Chrome Malware Extensions
Nog een dag en een andere malware-aanval is gemeld. We hebben zojuist meldingen van een nieuwe wereldwijde bedreiging genaamd de Droidclub Botnet die snel wordt wereldwijd gedistribueerd naar targets. De grootschalige campagnes zijn erin geslaagd om ongeveer een half miljoen computergebruikers te infecteren in een korte periode waarin zij tot de meest dodelijke infecties in de afgelopen weken maakt. Momenteel is de belangrijkste methode is gebaseerd op het verspreiden van malware plugins voor Google Chrome. Dit is een tactiek die wijd eenvoudigere redirect plaatsen waar de code is compatibel voor andere toepassingen gemaakte: Mozilla Firefox, Safari, Opera, Internet Explorer en Microsoft Edge bijvoorbeeld. De criminelen achter de aanslag vervalste ontwikkelaar identiteiten en beoordelingen nep gebruiker om de populariteit van de inzendingen te stimuleren.
De security rapport blijkt dat op dit moment zijn er in totaal 89 aparte items vinden op de officiële Chrome Web Store. Google is actief ze te verwijderen als ze worden gerapporteerd echter nieuwere varianten kunnen eenvoudig worden gemaakt door de criminele groep. De bekende command and control servers worden ook de toegang geweigerd door de Cloudflare content delivery network.
Verschillende technieken kunnen worden gebruikt om de gebruikers om te leiden naar de browser-extensies. De criminelen kunnen kiezen voor het verzenden e-mail spam-berichten die gebruik maken van social engineering tactiek:
- hyperlinks - De hackers kunnen koppelingen in de berichten dat de slachtoffers te dwingen tot de installatie van de malware plugins insluiten.
- Bestandsbijlagen - De malware plugin setup-bestanden kunnen direct worden ingebed als bestandsbijlagen.
- Counterfeit Document Scripts - De criminelen kunnen ervoor kiezen om malware documenten van verschillende typen te sturen (rich tekstdocumenten, spreadsheets en presentaties) dat malware scripts bevatten. Zodra ze worden geopend door de beoogde doelstellingen een melding prompt verschijnt waarin de slachtoffers vraagt de ingebouwde commando's mogelijk te maken. Als dit wordt gedaan de malware wordt automatisch geïnstalleerd.
- Malware software Installateurs - Dit soort infecties vertrouwen op software installateurs die zijn aangepast aan de Droidclub botnet code bevatten.
Een van de belangrijkste browser plugins die werden gevonden om een deel van de distributie regeling kan worden beschouwd is de croissant Franse Toast uitbreiding - Klik hier om te leren hoe het te verwijderen.
Verwante Story: The Hide ‘n zoekt IoT Botnet Maakt gebruik van P2P te Devices Target
Droidclub Botnet Infectie Behavior
Zodra de Droidclub botnet in de Google Chrome-browser is geïnstalleerd, het begint te communiceren met de vooraf gedefinieerde command and control (C&C) servers om de nieuwste malware configuratie-instellingen. Het gaat dan door het injecteren van speciale scripts in de bekeken pagina's. Het kan worden gebruikt voor het instellen van verschillende bewakingstechnologieën gegevens van de slachtoffers te verzamelen. Er zijn twee hoofdtypen van gegevens die kunnen worden gekaapt door de hackers:
- anonieme Metrics - Dit soort informatie bestaat voornamelijk uit data die wordt gebruikt door de operators om te beoordelen hoe effectief de campagne is. Voorbeeld van het geoogste data omvat hardwarecomponenten, versie van het besturingssysteem, regionale instellingen en web browser configuratie-instellingen.
- Persoonlijk identificeerbare informatie - De criminelen automatisch een uitgebreide set van gegevens van het slachtoffer die hen rechtstreeks kunnen blootstellen verwerven. Dit geldt ook voor hun namen, voorkeuren, adres, telefoon nummer, accountgegevens en wachtwoorden.
Omdat de Droidclub botnet automatisch injecteert code in de actieve webpagina's kunnen ze ook bespioneren alle gebruikersinteracties. De security analisten melden dat nieuwe tabbladen en pop-ups worden ook getoond dat display-advertenties en banners die inkomsten voor de hacker operators te genereren. Ze kunnen worden gebruikt om de slachtoffers te leiden naar sites die malware en andere virussen te hosten.
Een gevaarlijke
Gevolgen van de Droidclub Botnet Infecties
De omleidingscode en cryptogeld mijnwerkers slechts een klein deel van de mogelijke malware uitkomst. De criminelen kunnen het virus gebruiken om verkeer te stimuleren om malware of sponsor websites. Tijdens de initiële binnendringing het configuratiebestand kan variëren afhankelijk van de gebruikers en bepaalde set variabelen zoals hun locatie. Een van de redenen waarom het verzamelen van informatie module wordt gestart en een compleet profiel van het slachtoffer gebruikers wordt gecreëerd is om de reclame-content delivery te optimaliseren. De criminelen kunnen ook gebruik maken van het web scripts door automatisch te kapen vorm data zoals het door de slachtoffers wordt ingevoerd. Als gevolg van de criminelen hun bankzaken card gegevens kunnen onderscheppen eventuele online betalingen worden gedaan.
De Droidclub botnet is geschikt voor de bevestiging exploit kits ook. Zij testen de computer voor diverse kwetsbaarheden en als ze gevonden worden kunnen andere virussen instellen. Dit omvat zowel ransomware stammen die gevoelige informatie te versleutelen en te chanteren de slachtoffers voor een decryptie vergoeding, net zoals Trojans die het mogelijk maken de controllers te bespioneren de slachtoffers in real time. Het gebruik van dergelijke tactiek van de hackers de controle over de machines te halen op een gegeven moment.
Vergelijkbare infecties kunnen worden gebruikt om de gecompromitteerde hosts te werven wereldwijd botnet-netwerken. Ze worden gebruikt om distributed denial of service-aanvallen tegen high-profile doelen lanceren. Afhankelijk van het geval kunnen ze worden gebruikt door de hackers of uitgeleend aan anderen voor een vergoeding.
Een interessante eigenschap van de malware code is het feit dat het is geïnstalleerd met behulp van een hardnekkig stand van uitvoering. Als de plugin detecteert dat de gebruikers willen om het te verwijderen worden ze automatisch doorgestuurd naar de uitbreiding van de introductie pagina. Deze tactiek wordt gebruikt om het slachtoffer te manipuleren door te denken dat ze de plugin hebt verwijderd, terwijl op hetzelfde moment actief blijft.
We raden dat alle computers gebruikers scannen hun systeem voor actieve infecties met behulp van een kwaliteit anti-spyware oplossing.
Spy Hunter scanner zal alleen de bedreiging op te sporen. Als u wilt dat de bedreiging voor automatisch verwijderd, je nodig hebt om de volledige versie van de anti-malware gereedschap kopen.Ontdek meer over SpyHunter Anti-Malware Tool / Hoe te verwijderen SpyHunter
Martin Beltov
Martin studeerde af met een graad in de uitgeverij van de universiteit van Sofia. Als een cyber security enthousiast dat hij geniet van het schrijven over de nieuwste bedreigingen en de mechanismen van inbraak.
Volg mij: