Crypto Prices

XRP und BTC im Visier einer neuen Malware-Kampagne – U.Today

vor 2 Stunden
1 minuten gelesen
2 ansichten

Entdeckung der Silent Swap Malware-Kampagne

Cybersecurity-Forscher von McAfee Advanced Threat Research haben eine äußerst ausgeklügelte Malware-Kampagne zur Entwendung von Kryptowährungen entdeckt, die als „Silent Swap“ bezeichnet wird. Diese Kampagne nutzt eine bösartige Browsererweiterung, um die Zwischenablage der Benutzer abzufangen und zu modifizieren, indem legitime Kryptowährungs-Wallet-Adressen durch gefälschte ersetzt werden. Die Angreifer haben es auf Bitcoin (BTC), Ethereum (ETH), XRP, Bitcoin Cash, Dash und andere Kryptowährungen abgesehen.

Raffinesse der Silent Swap Kampagne

Silent Swap unterscheidet sich von primitiven „Crypto Clippern“ durch ihr alarmierendes Maß an Raffinesse. Die Kampagne basiert auf fortschrittlicher Browsermanipulation, einer dezentralen Command-and-Control (C2)-Infrastruktur und anderen hochmodernen Techniken. Die Infektion beginnt typischerweise damit, dass das Opfer nicht signierte .NET- oder Golang-Installer herunterlädt, die oft als kostenlose oder gecrackte Versionen legitimer Software getarnt sind. Der Installer installiert dann eine bösartige Erweiterung, die sich als harmlose „Google Notes“-Anwendung ausgibt.

Manipulation und Infektion

Durch das Manipulieren der Konfigurationsdateien des Browsers schleicht sich Silent Swap gewaltsam in Chromium-basierte Browser wie Google Chrome, Microsoft Edge, Brave und Opera ein. Normalerweise speichern Chromium-Browser Sicherheitsverifizierungsdaten. Silent Swap umgeht diesen Schutz, indem es diese Sicherheitswerte nach dem Injizieren seines Codes neu berechnet und aktualisiert. Die „Google Notes“-Erweiterung, die von unbedarften Opfern installiert wird, gewährt sich invasive Berechtigungen.

Funktionsweise der Malware

Sobald die Erweiterung eine kopierte Adresse erkennt, die den Regex-Mustern für BTC, ETH, XRP, Bitcoin Cash oder Dash entspricht, verwendet sie keinen fest codierten Ersatz. Stattdessen fragt sie den Backend-Server des Angreifers ab. Die bösartigen Akteure hinter Silent Swap codieren auch ihre Command-and-Control (C2)-Domains nicht fest in die Malware ein. Stattdessen nutzen sie eine Technik, die als „EtherHiding“ bekannt ist.

Globale Verbreitung

Silent Swap hat einen global verteilten Infektionsfußabdruck, mit einer besonders hohen Konzentration von Opfern in Indien.

Beliebt