Crypto Prices

Кампания вредоносного ПО Silent Swap нацелена на XRP и BTC — U.Today

2 часа назад
1 мин. чтения
2 просмотров

Кампания по краже криптовалюты «Silent Swap»

Исследователи в области кибербезопасности из McAfee Advanced Threat Research обнаружили сложную кампанию по краже криптовалюты, названную «Silent Swap». Она использует вредоносное расширение браузера для перехвата и изменения буферов обмена пользователей, заменяя законные адреса криптовалютных кошельков на поддельные.

Цели и методы злоумышленников

Злоумышленники охотятся за Bitcoin (BTC), Ethereum (ETH), XRP, Bitcoin Cash, Dash и другими криптовалютами. Silent Swap отличается от примитивных «крипто-клипперов» высоким уровнем сложности.

Кампания полагается на:

  • продвинутую манипуляцию браузером,
  • децентрализованную инфраструктуру командования и управления (C2),
  • современные техники.

Методы заражения

Инфекция обычно начинается с того, что жертва загружает неподписанные установщики .NET или Golang, которые часто маскируются под бесплатные или взломанные версии легитимного программного обеспечения. Установщик разворачивает вредоносное расширение, замаскированное под безобидное приложение «Google Notes».

Путем вмешательства в конфигурационные файлы браузера Silent Swap принудительно загружает себя в браузеры на основе Chromium, включая Google Chrome, Microsoft Edge, Brave и Opera. Обычно браузеры на основе Chromium хранят данные для проверки безопасности, но Silent Swap обходит эту защиту, пересчитывая и обновляя значения безопасности после внедрения своего кода.

Инвазивные разрешения и замена адресов

Расширение «Google Notes», устанавливаемое неопытными жертвами, запрашивает инвазивные разрешения. Как только расширение обнаруживает скопированный адрес, соответствующий регулярным выражениям для BTC, ETH, XRP, Bitcoin Cash или Dash, оно не использует жестко закодированную замену. Вместо этого оно запрашивает сервер злоумышленника.

Злоумышленники, стоящие за Silent Swap, также не закодируют свои домены командования и управления (C2) в вредоносное ПО, а используют технику, известную как «EtherHiding».

Глобальный след инфекции

Silent Swap имеет глобальный след инфекции, с особенно высокой концентрацией жертв в Индии.