Các nhà nghiên cứu tại Zimperium zLabs đã phát hiện ra một tiện ích mở rộng (extension) trình duyệt độc hại, có tên là Cloud9, có thể đánh cắp thông tin nhạy cảm và riêng tư của người dùng, đồng thời kiểm soát hoàn toàn thiết bị của nạn nhân.
Điều khiến Cloud9 trở nên đặc biệt đáng lo ngại là nó đánh cắp dữ liệu bằng cách theo dõi các lần nhấn phím của bạn (tức là ghi nhật ký bàn phím). Nó theo dõi hoạt động trình duyệt web của nạn nhân, vốn là điều mà những tội phạm mạng rất thích thú. Xét cho cùng, trong quá trình lướt web, nhiều khả năng, bạn đã nhập các thông tin xác thực được săn lùng rất nhiều, bao gồm mật khẩu ngân hàng và những thông tin nhạy cảm khác. Cloud9 là một mạng botnet có phương thức hoạt động dựa trên trojan truy cập từ xa (RAT). Các nhà nghiên cứu đã tìm thấy hai biến thể Cloud9: phiên bản gốc và phiên bản mới cải tiến. Tuy nhiên, trong báo cáo, các nhà điều tra tập trung vào biến thể thứ 2 vì nó "chứa các chức năng của cả 2 biến thể." Cloud9 có thể thực hiện những thứ như sau: - Theo dõi các lần nhấn phím của bạn (tức là ghi nhật ký bàn phím) để đánh cắp mật khẩu ngân hàng, thông tin thẻ tín dụng của bạn,… - Đánh cắp dữ liệu sao chép và dán của bạn (ví dụ: Clipboard). - Đánh cắp cookie của bạn để thỏa hiệp phiên người dùng. - Sử dụng trình duyệt và tài nguyên máy tính của bạn để khai thác tiền điện tử. - Kiểm soát thiết bị của bạn bằng cách thực thi mã độc. - Thực hiện các cuộc tấn công DDoS từ PC của bạn. - Chèn cửa sổ bật lên và quảng cáo.
Mặc dù Cloud9 là một plugin trình duyệt độc hại, nhưng nhóm Zimperium zLabs cho biết rằng, họ không tìm thấy nó trên bất kỳ cửa hàng tiện ích mở rộng trình duyệt chính thức nào (ví dụ như Chrome Web Store). Thay vào đó, các nhà nghiên cứu đã phát hiện ra Cloud9 thường xuyên giả mạo bản cập nhật Adobe Flash Player trên những trang web độc hại.
