Cybersecurity-onderzoekers hebben een actieve browserextensiecampagne gemarkeerd die is ontworpen om cryptocurrency te stelen door heimelijk portemonnee-adressen te vervangen wanneer nietsvermoedende gebruikers een transactie starten.
De cryptocurrency clipper-activiteit heeft de codenaam gekregen Stille wissel door McAfee Labs.
“De campagne wordt geleverd via niet-ondertekende installatieprogramma’s – waargenomen in zowel .NET- als Golang-varianten – die een kwaadaardige Chromium-extensie inzetten die zich voordoet als een goedaardig ‘Google Notes’-hulpprogramma”, aldus het cyberbeveiligingsbedrijf in een technisch rapport gedeeld met The Hacker News.
Het niet-ondertekende .NET-installatieprogramma, genaamd BaseZipInstaller, is ontworpen om een ZIP-archief op te halen, dat dient als basis voor de kwaadaardige browserextensie door het systeem te scannen op Chromium-gebaseerde browsers. Voor elk gedetecteerd profiel in die browsers wordt het browserproces met geweld beëindigd en wordt de extensie geïnjecteerd door de bestanden Veilige voorkeuren en voorkeuren te wijzigen.
Het uiteindelijke doel van de extensie is om te fungeren als een clipper die portemonnee-adressen kan onderscheppen en manipuleren die naar het klembord van het systeem zijn gekopieerd, met als doel het geld om te leiden naar een door de aanvaller bestuurde portemonnee. Om zijn doelen te verwezenlijken vraagt de valse Google Notes-extensie gebruikers om toestemming voor toegang tot het klembord, alle URL’s en de browsegeschiedenis.
Omdat de meeste transacties op de blockchain onomkeerbaar zijn, kan een adreswissel resulteren in permanent financieel verlies. McAfee Labs zei dat de activiteit overlapt met een eerdere CountLoader-campagne die een cryptoclipper opleverde, waarbij bewijsmateriaal wijst op dezelfde dreigingsactor achter beide clusters.
Wat Silent Swap uniek maakt, is het gebruik van een techniek genaamd EtherHiding, die de blockchain gebruikt als een dead drop-resolver om de actieve command-and-control (C2) servergegevens op te halen. Hierdoor kan de aanvaller op triviale wijze een slimme contractwaarde bijwerken zodat deze naar het nieuwe domein verwijst, in plaats van de malware zelf opnieuw te moeten implementeren.
Het tweede aspect draait om de geheime installatie van de browserextensie op Chromium-gebaseerde browsers zoals Google Chrome, Microsoft Edge, Brave en Vivaldi door beschermde browserinstellingenbestanden te wijzigen. De aanval draait echter om het inschakelen van de ontwikkelaarsmodus voor nieuwere versies van de browsers, iets dat een bedreigingsacteur kan bereiken via social engineering-tactieken.
“Normaal gesproken slaan deze browsers beveiligingsverificatiegegevens (hash/HMAC-waarden) op naast gevoelige instellingen om ongeautoriseerde wijzigingen te detecteren”, aldus McAfee. “De malware herberekent en updatet deze beveiligingswaarden nadat er met de bestanden is geknoeid, waardoor de browser wordt misleid door te geloven dat de kwaadaardige extensie legitiem is geïnstalleerd.”
“Hierdoor kan de extensie het normale installatieproces van de extensiewebwinkel omzeilen en stil laden zonder toestemming van de gebruiker.”
De volhardende en ontwijkende houding van de campagne wordt gekarakteriseerd als doelbewust en gelaagd, waarbij de primaire focus ligt op het handhaven van een lage zichtbaarheid voor de eindgebruiker en een hoge veerkracht tegen verwijdering en statische analyse. Persistentie wordt tot stand gebracht door de extensie te registreren door het Secure Preferences-bestand van de browser te wijzigen, zodat het bij volgende browserstarts wordt geladen zonder dat een apart mechanisme nodig is.
Bovendien probeert de malware de ontwikkelaarsmodus programmatisch in te schakelen in Brave en Opera, en wordt het installatieprogramma na uitvoering automatisch verwijderd, waardoor een indicator van een aanvankelijke aanval effectief wordt verwijderd. Een andere ontwijkingstechniek is het gebruik van dynamische portefeuillevervanging, die verantwoordelijk is voor het ophalen van een vervangend adres dat overeenkomt met het oorspronkelijke adres van het slachtoffer.
“Het stuurt het onderschepte portemonnee-adres naar de backend van de aanvaller en gebruikt het antwoord om het oorspronkelijke adres dynamisch te vervangen”, aldus McAfee. “Als het backend-verzoek mislukt, valt de functie terug op een vooraf gedefinieerd, hardgecodeerd portemonnee-adres, waardoor ononderbroken kwaadaardige activiteit wordt gegarandeerd.”
Voor elk portemonnee-adres dat overeenkomt met patronen die zijn gekoppeld aan Bitcoin (BTC), Ethereum, Bitcoin Cash, Ripple en Dash, wordt het toegewezen aan een uniek door de aanvaller beheerd adres aan de serverzijde. Alle ingediende Solana-adressen worden daarentegen omgezet naar één aanvalleradres. Op het moment van schrijven blijkt dat het Solana-adres een saldo heeft van $ 1.902,45.
“Elk ingediend adres wordt toegewezen aan een uniek door de aanvaller gecontroleerd adres. Het opnieuw indienen van hetzelfde origineel retourneert dezelfde vervanging, wat wijst op een deterministische één-op-één mapping die aan de serverzijde wordt gehandhaafd.
Uit telemetriegegevens blijkt dat infecties wereldwijd verspreid zijn, waarbij in India een hogere concentratie slachtoffers wordt gemeld. Andere landen die door de campagne worden getroffen, zijn onder meer de VS, Brazilië, Indonesië en Spanje.
“Deze campagne is een beknopte illustratie van waar de op consumenten gerichte diefstal van cryptocurrency naartoe gaat”, aldus McAfee. “Statische aanvalleradressen zijn vervangen door een server-side, per-slachtoffer mapping. Kwetsbare, hardgecodeerde command-and-control-domeinen zijn vervangen door een blockchain-opgeloste lookup die een operator met een enkele transactie kan roteren.”
Chrome- en Firefox-extensies die zich voordoen als gratis VPN’s voegen klembord-stealers toe
De onthulling komt nadat Socket rapporteerde over een paar kwaadaardige Chrome- en Mozilla Firefox-browserextensies, beide met de naam “VPN Go: Free VPN” in de Chrome Web Store en Firefox Add-ons-marktplaats.
“Beide extensies presenteren zichzelf als gratis VPN-tools en bevatten zichtbare proxy-functionaliteit”, aldus Socket-onderzoekers Kirill Boychenko en Kush Pandya. “Onder de motorkap bevatten beide ook kwaadaardige logica voor klemborddiefstal die continu gekopieerde tekst in de gaten houdt en deze exfiltreert om door actoren gecontroleerde infrastructuur te bedreigen.”
Het gedrag reikt verder dan portemonnee-adressen, omdat het de operators in staat stelt allerlei gevoelige gegevens over te hevelen, waaronder wachtwoorden, authenticatiecodes, API-sleutels, OAuth-tokens en zaadzinnen.
Nader onderzoek van de extensies heeft een gefaseerd kwaadaardig updatepatroon aan het licht gebracht, waarbij de ontwikkelaar van de extensie aanvankelijk een goedaardige versie op de extensie-storefront publiceerde voordat hij via een volgende update de mogelijkheid om het klembord te stelen introduceerde.
Hoewel is gebleken dat versies 1.1 en 1.2 van de Chrome-extensie klembordgegevens exfiltreren naar “178.236.252(.)133”, schakelt versie 1.3 het exfiltratiekanaal naar een ander IP-adres (“77.91.123(.)187”). In het geval van zijn Firefox-equivalent is 1.3.3 de eerste versie die de klembord-stealer bevat en de informatie naar “178.236.252(.)133” stuurt. De 1.3.4-update verplaatst de infrastructuur naar “77.91.123(.)187.”
Gebruikers die een van de extensies hebben geïnstalleerd, wordt geadviseerd deze onmiddellijk te verwijderen en eventuele geheimen terwijl de extensie actief was, als gecompromitteerd te behandelen.
“De statische code is voldoende om aan te tonen dat de extensies zijn ontworpen om als proxytools te functioneren en niet alleen om een nep-VPN-interface weer te geven”, aldus Socket. “De proxy-mogelijkheid verhoogt nog steeds het risico omdat het browserverkeer door de door de bedreigingsactoren geleverde infrastructuur kan leiden, HTTP-verkeer in platte tekst en metagegevens van verbindingen kan blootleggen en de extensie nuttig kan laten lijken terwijl de klembordmonitor parallel loopt.”
