Chrome

Google Chrome-udvidelse bruges til at stjæle kryptokurrency og adgangskoder

En Google Chrome-browserudvidelse ved navn ‘VenomSoftX’ implementeres af Windows-malware til at stjæle cryptocurrency og udklipsholderindhold, når brugerne surfer på nettet.

Denne Chrome-udvidelse installeres af ViperSoftX Windows-malware, der fungerer som en JavaScript-baseret RAT (fjernadgangstrojan) og cryptocurrency-hijacker.

ViperSoftX har eksisteret siden 2020, tidligere afsløret af sikkerhedsforskere Cerberus og Colin Cowie, og i en rapport fra Fortinet.

I en ny rapport af Avast, giver analytikere flere detaljer om den ødelæggende browserudvidelse og hvordan malware-operationen har gennemgået omfattende udvikling på det seneste.

Seneste aktivitet

Siden begyndelsen af 2022 har Avast opdaget og stoppet 93,000 ViperSoftX-infektionsforsøg mod sine kunder, hvilket hovedsageligt påvirker USA, Italien, Brasilien og Indien.

Den vigtigste distributionskanal for ViperSoftX er torrentfiler, der indeholder snørede spilrevner og softwareproduktaktivatorer.

Ved at analysere tegnebogsadresserne, der er hardkodet i prøver af ViperSoftX og VenomSoftX, fandt Avast, at de to samlet havde tjent deres operatører omkring $ 130,000 inden den 8. november 2022.

Denne stjålne kryptovaluta blev opnået ved at omdirigere kryptovalutatransaktioner forsøgt på kompromitterede enheder og inkluderer ikke overskud fra parallelle aktiviteter.

Den downloadede eksekverbare er en malware loader, der dekrypterer AES-data for at oprette følgende fem filer:

  • Logfil, der skjuler en ViperSoftX PowerShell-nyttelast
  • XML-fil til opgaveplanlæggeren
  • VBS-fil til etablering af persistens ved at oprette en planlagt opgave
  • Applikation binær (lovet spil eller software)
  • Manifest fil

Den enkelte ødelæggende kodelinje gemmer sig et sted mod bunden af 5MB-logtekstfilen og kører for at dekryptere nyttelasten, ViperSoftX stjæler.

Nyere ViperSoftX-varianter adskiller sig ikke meget fra det, der er blevet analyseret i tidligere år, herunder tyveri af kryptokurrency-tegnebogsdata, vilkårlig kommandoudførelse, nyttelastdownloads fra C2 osv.

En nøglefunktion i nyere ViperSoftX-varianter er installationen af en ondsindet browserudvidelse ved navn VenomSoftX på Chrome-baserede browsere (Chrome, Brave, Edge, Opera).

Infektion af Chrome

For at forblive skjult for ofrene maskerer den installerede udvidelse sig som “Google Sheets 2.1”, angiveligt en Google-produktivitetsapp. I maj opdagede sikkerhedsforsker Colin Cowie også udvidelsen installeret som ‘Update Manager.’

Mens VenomSoftX ser ud til at overlappe ViperSoftX-aktivitet, da de begge er målrettet mod et offers kryptokurrencyaktiver, udfører det tyveriet forskelligt, hvilket giver operatørerne større chancer for succes.

“VenomSoftX gør hovedsageligt dette (stjæler krypto) ved at tilslutte API-anmodninger på et par meget populære kryptobørser, som ofre besøger / har en konto hos,” forklarer Avast i rapporten.

“Når en bestemt API for eksempel kaldes til at sende penge, manipulerer VenomSoftX med anmodningen, før den sendes for at omdirigere pengene til angriberen i stedet.”

De tjenester, der er målrettet mod VenomSoftX, er Blockchain.com, Binance, Coinbase, Gate.io og Kucoin, mens udvidelsen også overvåger udklipsholderen for tilføjelse af tegnebogsadresser.

Desuden kan udvidelsen ændre HTML på websteder for at vise en brugers cryptocurrency-tegnebogadresse, mens elementerne i baggrunden manipuleres for at omdirigere betalinger til trusselsaktøren.

For at bestemme offerets aktiver opfanger VenomSoftX-udvidelsen også alle API-anmodninger til de cryptocurency-tjenester, der er nævnt ovenfor. Det indstiller derefter transaktionsbeløbet til det maksimale tilgængelige og suger alle tilgængelige midler.

For at gøre tingene værre, for Blockchain.info, vil udvidelsen også forsøge at stjæle adgangskoder, der er indtastet på webstedet.

“Dette modul fokuserer på www.blockchain.com, og det forsøger at koble https://blockchain.info/wallet. Det ændrer også getteren af adgangskodefeltet for at stjæle indtastede adgangskoder,” forklarer Avast.

“Når anmodningen til API-slutpunktet er sendt, udtrækkes tegnebogsadressen fra anmodningen, bundtes med adgangskoden og sendes til samleren som en base64-kodet JSON via MQTT.”

Endelig, hvis en bruger indsætter indhold på et websted, vil udvidelsen kontrollere, om det matcher nogen af de regulære udtryk, der er vist ovenfor, og i så fald sende det indsatte indhold til trusselsaktørerne.

Da Google Sheets normalt er installeret i Google Chrome som en app under chrome://apps/and ikke en udvidelse, kan du tjekke din browsers udvidelsesside for at afgøre, om Google Sheets er installeret.

Hvis det er installeret som en udvidelse, skal du fjerne det og rydde dine browserdata for at sikre, at den ødelæggende udvidelse fjernes.

Kilde: BleepingComputers

Foto: Pexels

Cybersikkerhed & Nyheder