JS僵尸网络来了，上网要谨慎。

概要

最近360安全大脑监测了一批从网页中检测用户行为，窃取网民信息的窃听程序。 攻击者利用假色情网站，通过在该页面中嵌入Cloud9 JavaScript Botnet来控制用户的浏览器，然后窃取浏览器的Cookie，进行键盘记录，开始开采，或者开始用户的计算机

Cloud9 JavaScript Botnet是一种基于JavaScript脚本的多功能远程控制程序( RAT )，位于2017年黑客论坛( https://hackforums.net )上攻击者通常使用网页以挂马的方式发布，但也有攻击者通过伪装成普通浏览器扩展来发布。 下图显示了一个站点页面引入了恶意JS文件campaign.js(cloud9botnet )

键盘记录

加载campaign.js时，它将首先检测操作系统和浏览器。 识别浏览器类型后，脚本将使用onkeypress事件添加新的事件侦听器。 按下键盘上的某个键时，将触发此事件，并将相应的键值分配给变量。 日志数据和当前web页的“表单”数据将发送到抄送，以黑客攻击并记录插入恶意代码页的用户的键操作。

远程控制

JS文件在30秒超时后调用pingHome函数，该函数向CC发送GET请求获取控制端返回的命令。 根据返回结果执行进一步的功能。

该恶意软件可以基于接收到的命令执行的主要功能是： l FTP Flood攻击l Cookie窃取LCD记录LCD请求l POST Flood攻击LCD执行指定JavaScript代码LCD网页(广告页) LCD执行页开采LCD劫持( iframe LCVE_2016_0189(ie浏览器) lcve _ 2014 _ 6332 lcve-2016-7200 ( edge浏览器) l 4/7层混合DDos攻击(随机大小的POST Flood攻击)的一部分

攻击者窃取浏览器的Cookie，获取剪切表数据并发送回复

2 .漏洞利用攻击

攻击者使用CVE_2016_0189、CVE_2014_6332、CVE-2016-7200漏洞利用代码对不同的浏览器发起了攻击

3. DDoS攻击

运行JS时，可以将POST请求发送到任何地址。 如果攻击者控制大量用户浏览器，就可以发起大规模的DDoS攻击

4 .其他功能

包括单击劫持、解密MD5/SHA1散列以及运行从CC服务器分发的任何JS脚本

总结

Cloud9 Botnet的销售者还提供了控制台模块，攻击者可以利用控制台实现对被攻击设备的管理。 部分功能包括命令功能示例、当前执行任务、日志捕获、执行任务编辑、在线引导列表和网络日志。

如果感染了这种恶意的扩张，或者无意中访问了这样的网站，不仅隐私会被侵犯，还可能导致浏览器被开采，成为攻击的“肉鸡”而发动各种攻击。 有被投递漏洞攻击代码，整个计算机被黑客攻击的风险。

针对这种攻击，建议打开安全软件的web防护功能，以免用户在不知情的情况下电脑受到攻击。

安全建议

360安全大脑请不要随便打开1 .陌生人发布的链接。 请不要继续访问安全软件阻止的网站。 2 .安装浏览器扩展选择官方或大平台通道安装3 .对于来路不明的扩展及时禁用或删除； 4 .疑似感染设备可使用360终端安全扫描检测。 IOC swww.810 Hao [.] comwww.811 Hao [.] comwww.812 Hao [.] comzmsp [.] top 70 [.] 66 [.] 139 [.] 68

• 上一篇：被羁押的犯人欠钱怎么要，罪犯不赔钱怎么办
• 下一篇：微星b660支持12代cpu吗，微星b660m配什么散热器