研究人员发现了一个新的名为“Cloud9”的 Chrome 浏览器僵尸网络，它使用恶意扩展来窃取在线帐户、记录击键、注入广告和恶意 JS 代码，并让受害者的浏览器参与 DDoS 攻击。

Cloud9 是一个恶意浏览器扩展，它对 Chromium 浏览器进行感染，以执行大量的恶意功能。该扩展工具由三个 JavaScript 文件组成，用于收集系统信息、使用主机资源挖掘加密货币、执行 DDoS 攻击以及注入运行浏览器漏洞的脚本。该恶意扩展程序可通过漏洞利用在主机上自动安装和执行 Windows 恶意软件，使攻击者能够进行更深入的系统入侵，或从受感染的浏览器中窃取 cookie，使用这些 cookie 劫持有效的用户会话并接管帐户。该恶意扩展程序具有一个键盘记录器，可以窥探按键以窃取密码和其他敏感信息。还存在一个“剪辑器”模块，不断监视系统剪贴板中是否有复制的密码或信用卡。

恶意 Chrome 扩展程序在官方 Chrome 网上商店中不可用，而是通过其他渠道传播，例如推送虚假 Adobe Flash Player 更新的网站。Cloud9 还可对 Firefox 中的 CVE-2019-11708 和 CVE-2019-9810 漏洞、Internet Explorer 的 CVE-2014-6332 和 CVE-2016-0189 以及 Edge 的 CVE-2016-7200 漏洞进行利用，目前已监测到有用户浏览器被恶意感染。