Extensie de browser care fură criptomonede

O extensie rău intenționată pentru browserele Chrome, Brave și Opera este folosită pentru a fura criptomonede de la victime, ca parte a unei campanii recente Satacom, descoperita de Kaspersky. Atacatorii au implementat o serie de actiuni rau intentionate pentru a se asigura ca extensia ramane nedetectata in timp ce utilizatorul navigheaza pe site-urile web de tip exchange, pentru criptomonedele vizate, inclusiv Coinbase si Binance. In plus, extensia le permite atacatorilor sa ascunda orice notificari despre tranzactie, trimise victimei de catre aceste site-uri web, pentru a le fura pe furis criptomonedele. Un raport detaliat despre aceasta campanie este disponibil pe Securelist.

Campania recenta este legata de Satacom Downloader, o familie de malware bine cunoscuta, activa din 2019 si livrata in principal prin publicitate malware plasata pe site-uri web ale tertilor. Link-urile sau anunturile rau intentionate redirectioneaza utilizatorii catre servicii false de partajare a fisierelor si alte pagini periculoase care ofera descarcarea unei arhive care contine Satacom Downloader. In cazul acestei campanii recente, descarca extensia de browser rau intentionata.

Obiectivul principal al campaniei este de a fura bitcoin (BTC) din conturile victimelor prin efectuarea de injectii web pe asemenea site-uri web de criptomonede. Cu toate acestea, malware-ul poate fi usor modificat pentru a viza si alte criptomonede. Malware-ul incearca sa-si atinga obiectivul instaland o extensie pentru browserele bazate pe Chromium – precum Chrome, Brave si Opera – si vizeaza utilizatorii individuali care detin criptomonede din intreaga lume. Potrivit telemetriei Kaspersky, cele mai afectate tari includ Brazilia, Algeria, Turcia, Vietnam, Indonezia, India, Egipt si Mexic.

Extensia rau intentionata efectueaza manipulari ale browserului in timp ce utilizatorul navigheaza pe site-urile web de exchange pentru criptomonedele vizate. Campania vizeaza utilizatorii Coinbase, Bybit, Kucoin, Huobi si Binance. Pe langa furtul criptomonedelor, extensia efectueaza actiuni suplimentare pentru a-si ascunde activitatea principala. De exemplu, ascunde confirmarile de e-mail ale tranzactiilor si modifica thread-uri de e-mail existente de pe site-urile web cu criptomonede, pentru a crea thread-uri false care seamana cu cele reale.

Template fals pentru un thread de email

In aceasta campanie, atacatorii nu trebuie sa gaseasca modalitati de a se strecura in magazinele oficiale de extensii, deoarece folosesc aplicatia de descarcare Satacom pentru livrare. Infectia initiala incepe cu un fisier de tip ZIP, care este descarcat de pe un site web ce pare sa imite portaluri de software, permitand utilizatorului sa descarce gratuit software-ul dorit (deseori cracked). Satacom descarca de obicei diverse fisiere binare pe computerul victimei. De data aceasta, cercetatorii Kaspersky au observant un script PowerShell care realizeaza instalarea unei extensii de browser rau intentionate.

Apoi, o serie de actiuni periculoase permit extensiei sa ruleze pe furis, in timp ce utilizatorul navigheaza pe internet. Ca urmare, actorii amenintarilor devin capabili sa transfere BTC din portofelul victimei in portofelul lor folosind infectii web.

Analiza tehnica detaliata a malware-ului este disponibila pe Securelist.

Pentru a maximiza beneficiile utilizarea in siguranta a criptomonedelor, expertii Kaspersky recomanda:

• Atentia sporita la escrocherii de tip phishing: atacatorii folosesc adesea e-mailuri de phishing sau site-uri web false pentru a pacali oamenii sa-si dezvaluie acreditarile de conectare sau cheile private. Verificati intotdeauna URL-ul site-ului web si nu faceti click pe niciun link suspect.
• Nu impartasiti cheile private: cheile private va deblocheaza portofelul cu criptomonede. Acestea trebuie sa ramana private si nu le distribuiti niciodata nimanui.
• Ramaneti la curent cu cele mai recente amenintari cibernetice si cele mai bune practici pentru a va pastra criptomonedele in siguranta. Cu cat stiti mai multe despre cum sa va protejati, cu atat veti fi mai bine echipati pentru a preveni atacurile cibernetice.
• Cercetati inainte de a investi: inainte de a investi in orice criptomoneda, cercetati amanuntit proiectul si echipa din spatele acestuia. Verificati site-ul web al proiectului, white paper si canalele de social media pentru a va asigura ca proiectul este legitim.
• Utilizati solutii de securitate: o solutie de securitate fiabila va va proteja dispozitivele de diferite tipuri de amenintari.

Abonează-te acum la canalul nostru de Telegram cotidianul.RO, pentru a fi mereu la curent cu cele mai recente știri și informații de actualitate. Fii cu un pas înaintea tuturor, află primul despre evenimentele importante, analize și povești captivante.