Crypto Prices

XRP y BTC, entre las criptomonedas objetivo de una nueva campaña de malware – U.Today

antes de 2 horas
1 minuto de lectura
2 vistas

Descubrimiento de Silent Swap

Los investigadores de ciberseguridad de McAfee Advanced Threat Research han descubierto una campaña de malware extremadamente sofisticada para robar criptomonedas, denominada «Silent Swap». Esta campaña se basa en una extensión de navegador maliciosa que intercepta y modifica los portapapeles de los usuarios, intercambiando direcciones de billeteras de criptomonedas legítimas por falsas. Los actores maliciosos están interesados en Bitcoin (BTC), Ethereum (ETH), XRP, Bitcoin Cash, Dash, así como en otras criptomonedas.

Diferencias con Crypto Clippers

Silent Swap se diferencia de los primitivos «crypto clippers» debido a su alarmante nivel de sofisticación. La campaña utiliza manipulación avanzada del navegador, infraestructura descentralizada de comando y control (C2) y otras técnicas de vanguardia. La infección generalmente comienza cuando la víctima descarga instaladores .NET o Golang no firmados, que a menudo están disfrazados como versiones gratuitas o pirateadas de software legítimo.

Funcionamiento de la Infección

El instalador despliega una extensión maliciosa que se hace pasar por una aplicación benigna de «Google Notes». Al alterar los archivos de configuración del navegador, Silent Swap se carga forzosamente en navegadores basados en Chromium, incluidos Google Chrome, Microsoft Edge, Brave y Opera. Normalmente, los navegadores Chromium almacenan datos de verificación de seguridad, pero Silent Swap elude esta defensa recalculando y actualizando estos valores de seguridad después de inyectar su código.

Permisos y Técnicas de Infección

La extensión de «Google Notes», que se instala en víctimas desprevenidas, obtiene permisos invasivos. Tan pronto como la extensión detecta una dirección copiada que coincide con los patrones regex para BTC, ETH, XRP, Bitcoin Cash o Dash, no utiliza un reemplazo codificado. En su lugar, consulta al servidor backend del atacante. Los actores maliciosos detrás de Silent Swap tampoco codifican sus dominios de comando y control (C2) en el malware; en cambio, utilizan una técnica conocida como «EtherHiding».

Impacto Global

Silent Swap tiene una huella de infección distribuida globalmente, con una concentración particularmente alta de víctimas en India.

Popular