Crypto Prices

XRP et BTC parmi les cryptomonnaies ciblées par une nouvelle campagne de malware – U.Today

il y a 3 heures
1 minutes de lecture
3 vues

Découverte de la campagne de malware « Silent Swap »

Des chercheurs en cybersécurité de McAfee Advanced Threat Research ont découvert une campagne de malware extrêmement sophistiquée, nommée « Silent Swap », visant à voler des cryptomonnaies. Cette campagne repose sur une extension de navigateur malveillante qui intercepte et modifie les presse-papiers des utilisateurs, échappant ainsi aux adresses de portefeuilles de cryptomonnaies légitimes pour les remplacer par de fausses adresses. Les acteurs malveillants ciblent principalement Bitcoin (BTC), Ethereum (ETH), XRP, Bitcoin Cash, Dash, ainsi que d’autres cryptomonnaies.

Caractéristiques de Silent Swap

Silent Swap se distingue des « crypto clippers » primitifs par son niveau de sophistication alarmant. La campagne utilise une manipulation avancée des navigateurs, une infrastructure décentralisée de commande et de contrôle (C2), ainsi que d’autres techniques de pointe. L’infection débute généralement par le téléchargement par la victime d’installateurs .NET ou Golang non signés, souvent déguisés en versions gratuites ou piratées de logiciels légitimes.

Processus d’infection

L’installateur déploie ensuite une extension malveillante qui se fait passer pour une application inoffensive nommée « Google Notes ». En modifiant les fichiers de configuration du navigateur, Silent Swap s’installe de force dans les navigateurs basés sur Chromium, tels que Google Chrome, Microsoft Edge, Brave et Opera. Normalement, ces navigateurs stockent des données de vérification de sécurité, mais Silent Swap parvient à contourner cette défense en recalculant et en mettant à jour ces valeurs de sécurité après avoir injecté son code.

Fonctionnement de l’extension malveillante

L’extension « Google Notes », installée par des victimes non averties, s’octroie des autorisations invasives. Dès que l’extension détecte une adresse copiée correspondant aux motifs regex pour BTC, ETH, XRP, Bitcoin Cash ou Dash, elle ne remplace pas cette adresse par un code durci. Au lieu de cela, elle interroge le serveur backend de l’attaquant.

Techniques d’évasion et portée mondiale

De plus, les acteurs malveillants derrière Silent Swap n’intègrent pas leurs domaines de commande et de contrôle (C2) dans le malware. Ils utilisent plutôt une technique connue sous le nom de « EtherHiding ». Silent Swap a une empreinte d’infection distribuée à l’échelle mondiale, avec une concentration particulièrement élevée de victimes en Inde.