Avslöjande av Silent Swap
Cybersäkerhetsforskare vid McAfee Advanced Threat Research har avslöjat en extremt sofistikerad malwarekampanj för stöld av kryptovaluta, kallad ”Silent Swap.” Kampanjen använder ett skadligt webbläsartillägg för att avlyssna och modifiera användarens urklipp, vilket gör att legitima kryptovaluta-plånboksadresser byts ut mot falska.
Riktade kryptovalutor
De illvilliga aktörerna riktar in sig på Bitcoin (BTC), Ethereum (ETH), XRP, Bitcoin Cash, Dash och andra kryptovalutor. Silent Swap skiljer sig från primitiva ”crypto clippers” genom sin oroande nivå av sofistikering.
Infektionsmetod
Kampanjen förlitar sig på avancerad webbläsarmanipulation, decentraliserad kommandoserver (C2) infrastruktur och andra banbrytande tekniker. Infektionen inleds vanligtvis när offret laddar ner osignerade .NET- eller Golang-installatörer, som ofta maskeras som gratis eller knäckta versioner av legitim programvara.
Installatören distribuerar sedan ett skadligt tillägg som utger sig för att vara en ofarlig ”Google Notes”-applikation. Genom att manipulera webbläsarens konfigurationsfiler tvingar Silent Swap sig själv att sidladdas i Chromium-baserade webbläsare, inklusive Google Chrome, Microsoft Edge, Brave och Opera.
Avancerad teknik
Normalt lagrar Chromium-webbläsare säkerhetsverifieringsdata, men Silent Swap kringgår detta försvar genom att omberäkna och uppdatera dessa säkerhetsvärden efter att ha injicerat sin kod. Det ”Google Notes”-tillägg som installeras av ovetande offer ger sig själv invasiva behörigheter.
”Så snart tillägget upptäcker en kopierad adress som matchar regex-mönstren för BTC, ETH, XRP, Bitcoin Cash eller Dash, använder det inte en hårdkodad ersättning. Istället frågar det angriparens backend-server.”
De illvilliga aktörerna bakom Silent Swap hårdkodar inte heller sina kommandoserver (C2) domäner i malwaren, utan använder en teknik som kallas ”EtherHiding.” Silent Swap har ett globalt distribuerat infektionstryck, med en särskilt hög koncentration av offer i Indien.