Los investigadores de ciberseguridad han señalado una campaña activa de extensión del navegador que tiene como objetivo robar criptomonedas reemplazando de forma encubierta las direcciones de billetera cuando los usuarios desprevenidos inician transacciones.
McAfee Labs ha denominado a esta actividad de recorte de criptomonedas el nombre en código “Silent Swap”.
«Esta campaña se entrega a través de un instalador no firmado observado en las variantes .NET y Golang que implementa una extensión Chromium maliciosa disfrazada de una utilidad benigna de ‘Google Notes'», dijo la firma de ciberseguridad en un informe técnico compartido con The Hacker News.
Un instalador .NET sin firmar llamado BaseZipInstaller está diseñado para escanear navegadores basados en Chromium en el sistema para recuperar archivos ZIP que sirven como base para extensiones de navegador maliciosas. Para cada perfil detectado en estos navegadores, finaliza por la fuerza el proceso del navegador e inyecta su extensión modificando las configuraciones seguras y los archivos de configuración.
El objetivo final de esta extensión es actuar como un cortapelos que puede interceptar y manipular direcciones de billetera que se copian en el portapapeles del sistema con el objetivo de redirigir fondos a una billetera controlada por un atacante. Para lograr su objetivo, la extensión falsa de Google Notes pide a los usuarios que concedan permiso para acceder a su portapapeles, a todas las URL y al historial de navegación.
Dado que la mayoría de las transacciones en blockchain son irreversibles, los intercambios de direcciones pueden provocar pérdidas financieras permanentes. McAfee Labs dijo que esta actividad se superpone con una campaña anterior de CountLoader que distribuyó Crypto Clipper, y hay evidencia de que el mismo actor de amenazas está detrás de ambos grupos.
Lo que distingue a Silent Swap es el uso de una tecnología llamada EtherHiding, que utiliza blockchain como un solucionador de caída para obtener detalles de los servidores de comando y control activos (C2). Esto permite a un atacante actualizar fácilmente el valor del contrato inteligente para que apunte a un nuevo dominio en lugar de volver a implementar el malware.
El segundo aspecto gira en torno a la instalación encubierta de extensiones de navegador en navegadores basados en Chromium, como Google Chrome, Microsoft Edge, Brave y Vivaldi, modificando los archivos de configuración protegidos del navegador. Sin embargo, este ataque se basa en habilitar el modo de desarrollador en las nuevas versiones del navegador, lo que los actores de amenazas pueden hacer mediante tácticas de ingeniería social.
«Normalmente, estos navegadores almacenan datos de validación de seguridad (valores hash/HMAC) junto con configuraciones sensibles para detectar cambios no autorizados», dijo McAfee. «Después de modificar los archivos, el malware vuelve a calcular y actualiza estos valores de seguridad, engañando al navegador haciéndole creer que la extensión maliciosa se instaló legítimamente».
«Esto permite que las extensiones omitan el proceso normal de instalación de Extension Web Store y se carguen silenciosamente sin la aprobación del usuario».
La persistencia y evasión de la campaña se caracteriza por un comportamiento deliberado y de múltiples niveles, con el enfoque principal en mantener una baja visibilidad para los usuarios finales y una alta resistencia a la eliminación y al análisis estático. La persistencia se establece modificando el archivo de configuración segura del navegador para registrar la extensión de modo que se cargue en inicios posteriores del navegador sin necesidad de un mecanismo separado.
Además, el malware intenta habilitar mediante programación el modo de desarrollador en Brave y Opera. El instalador se elimina automáticamente después de la ejecución, eliminando efectivamente el primer signo de compromiso. Otra técnica de evasión es el uso del reemplazo dinámico de billetera, que obtiene una dirección de reemplazo que corresponde a la dirección original de la víctima.
«Enviamos la dirección de la billetera interceptada al servidor del atacante y utilizamos la respuesta para reemplazar dinámicamente la dirección original», dijo McAfee. «Si falla una solicitud de backend, la función recurre a una dirección de billetera codificada predefinida para garantizar que no se interrumpa la actividad maliciosa».
Todas las direcciones de billetera que coinciden con patrones asociados con Bitcoin (BTC), Ethereum, Bitcoin Cash, Ripple y Dash se asignan a una dirección única controlada por el atacante en el lado del servidor. Por el contrario, todas las direcciones de Solana enviadas se resuelven en una única dirección de atacante. Al momento de escribir este artículo, se encuentra que la dirección de Solana tiene un saldo de $1,902.45.
«Cada dirección enviada se asigna a una dirección única controlada por el atacante. Volver a enviar el mismo original devuelve el mismo reemplazo, lo que indica que se mantiene una asignación determinista uno a uno en el lado del servidor.
Los datos de telemetría sugieren que la infección se distribuye globalmente, con una mayor concentración de víctimas en la India. Otros países afectados por esta campaña son Estados Unidos, Brasil, Indonesia y España.
«Esta campaña ilustra sucintamente hacia dónde se dirige el robo de criptomonedas dirigido a los consumidores», dijo McAfee. «Las direcciones estáticas de los atacantes han sido reemplazadas por asignaciones por víctima del lado del servidor. Los dominios de comando y control débiles y codificados han sido reemplazados por búsquedas resueltas en blockchain que los operadores pueden rotar en una sola transacción».
Las extensiones de Chrome y Firefox disfrazadas de VPN gratuitas añaden ladrones de portapapeles
Esta divulgación se produce después de que Socket informara sobre dos extensiones maliciosas de los navegadores Chrome y Mozilla Firefox con el nombre «VPN Go: Free VPN» en Chrome Web Store y Firefox Add-on Marketplace.
«Ambas extensiones representan herramientas VPN gratuitas e incluyen una funcionalidad de proxy visible», dijeron los investigadores de socket Kirill Boychenko y Khush Pandya. «Ambos también contienen una lógica maliciosa de robo de portapapeles que monitorea continuamente el texto copiado y lo exfiltra a la infraestructura controlada por el actor de amenazas».
Este comportamiento se extiende más allá de las direcciones de billetera y permite a los operadores desviar todo tipo de datos confidenciales, incluidas contraseñas, códigos de autenticación, claves API, tokens OAuth y frases iniciales.
Una investigación más exhaustiva de la extensión reveló un patrón gradual de actualizaciones maliciosas. El desarrollador de la extensión publicó por primera vez una versión benigna en el escaparate de la extensión e introdujo la capacidad de robar el portapapeles en una actualización posterior.
Se sabe que las versiones 1.1 y 1.2 de la extensión de Chrome filtran datos del portapapeles a ‘178.236.252(.)133’, mientras que la versión 1.3 cambia el canal de exfiltración a una dirección IP diferente (‘77.91.123(.)187’). Para versiones equivalentes de Firefox, 1.3.3 es la primera versión que incluye un ladrón de portapapeles y envía información a «178.236.252(.)133». La actualización 1.3.4 migra la infraestructura a «77.91.123(.)187».
Recomendamos que los usuarios que hayan instalado alguna extensión la eliminen inmediatamente y traten cualquier secreto mientras la extensión estaba activa como comprometido.
«El código estático es suficiente para mostrar que la extensión está diseñada para actuar como una herramienta proxy, no sólo para mostrar una interfaz VPN falsa», dijo Socket. «La funcionalidad de proxy aún aumenta el riesgo porque dirige el tráfico del navegador a través de la infraestructura proporcionada por el actor de amenazas, exponiendo el tráfico HTTP de texto claro y los metadatos de conexión, y potencialmente permitiendo que las extensiones parezcan útiles mientras el monitor del portapapeles se ejecuta en paralelo».
Source link
