O extensie rău intenționată pentru browserele Chrome, Brave și Opera este folosită pentru a fura criptomonede de la victime, ca parte a unei campanii recente Satacom, descoperită de Kaspersky. Atacatorii au implementat o serie de acțiuni rău intenționate pentru a se asigura că extensia rămâne nedetectată în timp ce utilizatorul navighează pe site-urile web de tip exchange, pentru criptomonedele vizate, inclusiv Coinbase și Binance. În plus, extensia le permite atacatorilor să ascundă orice notificări despre tranzacție, trimise victimei de către aceste site-uri web, pentru a le fura pe furiș criptomonedele. Un raport detaliat despre această campanie este disponibil pe Securelist.
Campania recentă este legată de Satacom Downloader, o familie de malware bine cunoscută, activă din 2019 și livrată în principal prin publicitate malware plasată pe site-uri web ale terților. Link-urile sau anunțurile rău intenționate redirecționează utilizatorii către servicii false de partajare a fișierelor și alte pagini periculoase care oferă descărcarea unei arhive care conține Satacom Downloader. În cazul acestei campanii recente, descarcă extensia de browser rău intenționată.
Obiectivul principal al campaniei este de a fura bitcoin (BTC) din conturile victimelor prin efectuarea de injecții web pe asemenea site-uri web de criptomonede. Cu toate acestea, malware-ul poate fi ușor modificat pentru a viza și alte criptomonede. Malware-ul încearcă să-și atingă obiectivul instalând o extensie pentru browserele bazate pe Chromium – precum Chrome, Brave și Opera – și vizează utilizatorii individuali care dețin criptomonede din întreaga lume. Potrivit telemetriei Kaspersky, cele mai afectate țări includ Brazilia, Algeria, Turcia, Vietnam, Indonezia, India, Egipt și Mexic.
Extensia rău intenționată efectuează manipulări ale browserului în timp ce utilizatorul navighează pe site-urile web de exchange pentru criptomonedele vizate. Campania vizează utilizatorii Coinbase, Bybit, Kucoin, Huobi și Binance. Pe lângă furtul criptomonedelor, extensia efectuează acțiuni suplimentare pentru a-și ascunde activitatea principală. De exemplu, ascunde confirmările de e-mail ale tranzacțiilor și modifică thread-uri de e-mail existente de pe site-urile web cu criptomonede, pentru a crea thread-uri false care seamănă cu cele reale.
Template fals pentru un thread de email
În această campanie, atacatorii nu trebuie să găsească modalități de a se strecura în magazinele oficiale de extensii, deoarece folosesc aplicația de descărcare Satacom pentru livrare. Infecția inițială începe cu un fișier de tip ZIP, care este descărcat de pe un site web ce pare să imite portaluri de software, permițând utilizatorului să descarce gratuit software-ul dorit (deseori cracked). Satacom descarcă de obicei diverse fișiere binare pe computerul victimei. De data aceasta, cercetătorii Kaspersky au observant un script PowerShell care realizează instalarea unei extensii de browser rău intenționate.
Apoi, o serie de acțiuni periculoase permit extensiei să ruleze pe furiș, în timp ce utilizatorul navighează pe internet. Ca urmare, actorii amenințărilor devin capabili să transfere BTC din portofelul victimei în portofelul lor folosind infecții web.
Analiza tehnică detaliată a malware-ului este disponibilă pe Securelist.
Pentru a maximiza beneficiile utilizarea în siguranță a criptomonedelor, experții Kaspersky recomandă:
- Atenția sporită la escrocherii de tip phishing: atacatorii folosesc adesea e-mailuri de phishing sau site-uri web false pentru a păcăli oamenii să-și dezvăluie acreditările de conectare sau cheile private. Verificați întotdeauna URL-ul site-ului web și nu faceți click pe niciun link suspect.
- Nu împărtășiți cheile private: cheile private vă deblochează portofelul cu criptomonede. Acestea trebuie să rămână private și nu le distribuiți niciodată nimănui.
- Rămâneți la curent cu cele mai recente amenințări cibernetice și cele mai bune practici pentru a vă păstra criptomonedele în siguranță. Cu cât știți mai multe despre cum să vă protejați, cu atât veți fi mai bine echipați pentru a preveni atacurile cibernetice.
- Cercetați înainte de a investi: înainte de a investi în orice criptomonedă, cercetați amănunțit proiectul și echipa din spatele acestuia. Verificați site-ul web al proiectului, white paper și canalele de social media pentru a vă asigura că proiectul este legitim.
- Utilizați soluții de securitate: o soluție de securitate fiabilă vă va proteja dispozitivele de diferite tipuri de amenințări. Kaspersky Premium previne toate fraudele legate de criptomonede cunoscute și necunoscute, precum și utilizarea neautorizată a puterii de procesare a computerului dumneavoastră pentru a extrage criptomonede.