Los investigadores de ciberseguridad han señalado una campaña activa de extensión del navegador diseñada para robar criptomonedas reemplazando sigilosamente las direcciones de billetera cuando usuarios desprevenidos inician una transacción.
La actividad del clipper de criptomonedas ha recibido un nombre en clave Intercambio silencioso por los laboratorios McAfee.
«La campaña se entrega a través de instaladores no firmados, observados tanto en las variantes .NET como en Golang, que implementan una extensión maliciosa de Chromium que se hace pasar por una utilidad benigna de 'Google Notes'», dijo la empresa de ciberseguridad. dicho en un informe técnico compartido con The Hacker News.
El instalador .NET sin firmar, llamado BaseZipInstaller, está diseñado para recuperar un archivo ZIP, que sirve como base para la extensión maliciosa del navegador al escanear el sistema en busca de navegadores basados en Chromium. Para cada perfil detectado en esos navegadores, finaliza por la fuerza el proceso del navegador e inyecta la extensión modificando las Preferencias seguras y los archivos de Preferencias.
El objetivo final de la extensión es actuar como un cortapelos capaz de interceptar y manipular direcciones de billetera copiadas en el portapapeles del sistema con el objetivo de redirigir los fondos a una billetera controlada por el atacante. Para lograr sus objetivos, la extensión falsa de Google Notes solicita a los usuarios que le otorguen permisos para acceder al portapapeles, a todas las URL y al historial de navegación.
Debido a que la mayoría de las transacciones en blockchain son irreversibles, un intercambio de direcciones puede resultar en una pérdida financiera permanente. McAfee Labs dijo que la actividad se superpone con una campaña anterior de CountLoader que entregó un cripto clipper, con evidencia que apunta al mismo actor de amenazas detrás de ambos grupos.
Lo que distingue a Silent Swap es el uso de una técnica llamada EtherHiding que utiliza la cadena de bloques como solucionador de caída muerta para recuperar los detalles del servidor de comando y control (C2) activo. Esto permite al atacante actualizar trivialmente el valor de un contrato inteligente para que apunte al nuevo dominio en lugar de tener que volver a implementar el malware.
El segundo aspecto gira en torno a la instalación encubierta de la extensión del navegador en navegadores basados en Chromium como Google Chrome, Microsoft Edge, Brave y Vivaldi mediante la modificación de archivos de configuración protegidos del navegador. El ataque, sin embargo, depende de habilitar el modo de desarrollador para versiones más nuevas de los navegadores, algo que un actor de amenazas puede lograr mediante tácticas de ingeniería social.
«Normalmente, estos navegadores almacenan datos de verificación de seguridad (valores hash/HMAC) junto con configuraciones sensibles para detectar cambios no autorizados», dijo McAfee. «El malware recalcula y actualiza estos valores de seguridad después de alterar los archivos, engañando al navegador haciéndole creer que la extensión maliciosa se instaló legítimamente».
«Esto permite que la extensión omita el proceso normal de instalación de la tienda web de extensiones y se cargue silenciosamente sin la aprobación del usuario».
La postura de persistencia y evasión de la campaña se ha caracterizado como deliberada y estratificada, con el enfoque principal en mantener una baja visibilidad para el usuario final y una alta resistencia contra la eliminación y el análisis estático. La persistencia se establece registrando la extensión modificando el archivo de Preferencias seguras del navegador para que se cargue en inicios posteriores del navegador sin necesidad de un mecanismo separado.
Además, el malware intenta habilitar el modo de desarrollador mediante programación en Brave y Opera, y el instalador se autoelimina después de la ejecución, lo que elimina efectivamente un indicador de compromiso inicial. Otra técnica de evasión es el uso de la sustitución dinámica de billetera, que es responsable de obtener una dirección de reemplazo correspondiente a la dirección original de la víctima.
«Envía la dirección de la billetera interceptada al servidor del atacante y utiliza la respuesta para sustituir dinámicamente la dirección original», dijo McAfee. «Si la solicitud de backend falla, la función recurre a una dirección de billetera codificada predefinida, lo que garantiza una actividad maliciosa ininterrumpida».
Para cada patrón de coincidencia de dirección de billetera asociado con Bitcoin (BTC), Ethereum, Bitcoin Cash, Ripple y Dash, se asigna a una dirección única controlada por el atacante en el lado del servidor. Por el contrario, todas las direcciones de Solana enviadas se resuelven en una única dirección de atacante. Al momento de escribir este artículo, se ha descubierto que la dirección de Solana tiene un saldo de $1,902.45.
«Cada dirección enviada se asigna a una dirección única controlada por el atacante. Volver a enviar el mismo original devuelve el mismo reemplazo, lo que indica una asignación determinista uno a uno mantenida en el lado del servidor.
Los datos de telemetría sugieren que las infecciones están distribuidas globalmente, con una mayor concentración de víctimas reportadas en la India. Otros países afectados por la campaña son Estados Unidos, Brasil, Indonesia y España.
«Esta campaña es una ilustración concisa de hacia dónde se dirige el robo de criptomonedas dirigido a los consumidores», dijo McAfee. «Las direcciones estáticas de los atacantes han sido reemplazadas por un mapeo por víctima del lado del servidor. Los dominios de comando y control frágiles y codificados han sido reemplazados por una búsqueda resuelta en blockchain que un operador puede rotar con una sola transacción».
Las extensiones de Chrome y Firefox que se hacen pasar por VPN gratuitas añaden ladrones de portapapeles
La divulgación se produce cuando Socket informó sobre un par de extensiones maliciosas para los navegadores Chrome y Mozilla Firefox, ambas con el nombre «VPN Go: Free VPN» en Chrome Web Store y en el mercado de complementos de Firefox.
«Ambas extensiones se presentan como herramientas VPN gratuitas e incluyen una funcionalidad de proxy visible», afirman los investigadores de Socket Kirill Boychenko y Kush Pandya. dicho. «Bajo el capó, ambos también contienen una lógica maliciosa de robo de portapapeles que monitorea continuamente el texto copiado y lo exfiltra a una infraestructura controlada por el actor de amenazas».
El comportamiento se extiende más allá de las direcciones de billetera, ya que permite a los operadores desviar todo tipo de datos confidenciales, incluidas contraseñas, códigos de autenticación, claves API, tokens OAuth y frases iniciales.
Un examen más detallado de las extensiones ha revelado un patrón de actualización maliciosa por etapas, donde el desarrollador de la extensión publicó inicialmente una versión benigna en el escaparate de la extensión antes de introducir la capacidad de robo del portapapeles a través de una actualización posterior.
Si bien se ha descubierto que las versiones 1.1 y 1.2 de la extensión de Chrome filtran datos del portapapeles a «178.236.252[.]133», la versión 1.3 cambia el canal de exfiltración a una dirección IP diferente («77.91.123[.]187»). En el caso de su equivalente Firefox, 1.3.3 es la primera versión que incluye el ladrón de portapapeles y envía la información a «178.236.252».[.]133.» La actualización 1.3.4 mueve la infraestructura a «77.91.123[.]187.»
Se recomienda a los usuarios que hayan instalado cualquiera de las extensiones que las eliminen de inmediato y traten cualquier secreto mientras la extensión estuvo activa como comprometida.
«El código estático es suficiente para mostrar que las extensiones fueron diseñadas para funcionar como herramientas proxy, no simplemente para mostrar una interfaz VPN falsa», dijo Socket. «La capacidad del proxy aún aumenta el riesgo porque puede enrutar el tráfico del navegador a través de la infraestructura proporcionada por el actor de amenazas, exponer el tráfico HTTP en texto plano y los metadatos de conexión, y hacer que la extensión parezca útil mientras el monitor del portapapeles se ejecuta en paralelo».






