O extensie rău intenţionată pentru browserele Chrome, Brave şi Opera este folosită pentru a fura criptomonede de la victime, ca parte a unei campanii recente Satacom, descoperită de Kaspersky.
Atacatorii au implementat o serie de acţiuni rău intenţionate pentru a se asigura că extensia rămâne nedetectată în timp ce utilizatorul navighează pe site-urile web de tip exchange, pentru criptomonedele vizate, inclusiv Coinbase şi Binance. În plus, extensia le permite atacatorilor să ascundă orice notificări despre tranzacţie, trimise victimei de către aceste site-uri web, pentru a le fura pe furiş criptomonedele. Un raport detaliat despre această campanie este disponibil pe Securelist.
Campania recentă este legată de Satacom Downloader, o familie de malware bine cunoscută, activă din 2019 şi livrată în principal prin publicitate malware plasată pe site-uri web ale terţilor. Link-urile sau anunţurile rău intenţionate redirecţionează utilizatorii către servicii false de partajare a fişierelor şi alte pagini periculoase care oferă descărcarea unei arhive care conţine Satacom Downloader. În cazul acestei campanii recente, descarcă extensia de browser rău intenţionată.
Obiectivul principal al campaniei este de a fura bitcoin (BTC) din conturile victimelor prin efectuarea de injecţii web pe asemenea site-uri web de criptomonede. Cu toate acestea, malware-ul poate fi uşor modificat pentru a viza şi alte criptomonede. Malware-ul încearcă să-şi atingă obiectivul instalând o extensie pentru browserele bazate pe Chromium - precum Chrome, Brave şi Opera - şi vizează utilizatorii individuali care deţin criptomonede din întreaga lume. Potrivit telemetriei Kaspersky, cele mai afectate ţări includ Brazilia, Algeria, Turcia, Vietnam, Indonezia, India, Egipt şi Mexic.
Extensia rău intenţionată efectuează manipulări ale browserului în timp ce utilizatorul navighează pe site-urile web de exchange pentru criptomonedele vizate. Campania vizează utilizatorii Coinbase, Bybit, Kucoin, Huobi şi Binance. Pe lângă furtul criptomonedelor, extensia efectuează acţiuni suplimentare pentru a-şi ascunde activitatea principală. De exemplu, ascunde confirmările de e-mail ale tranzacţiilor şi modifică thread-uri de e-mail existente de pe site-urile web cu criptomonede, pentru a crea thread-uri false care seamănă cu cele reale.
Template fals pentru un thread de email
În această campanie, atacatorii nu trebuie să găsească modalităţi de a se strecura în magazinele oficiale de extensii, deoarece folosesc aplicaţia de descărcare Satacom pentru livrare. Infecţia iniţială începe cu un fişier de tip ZIP, care este descărcat de pe un site web ce pare să imite portaluri de software, permiţând utilizatorului să descarce gratuit software-ul dorit (deseori cracked). Satacom descarcă de obicei diverse fişiere binare pe computerul victimei. De data aceasta, cercetătorii Kaspersky au observant un script PowerShell care realizează instalarea unei extensii de browser rău intenţionate.
Apoi, o serie de acţiuni periculoase permit extensiei să ruleze pe furiş, în timp ce utilizatorul navighează pe internet. Ca urmare, actorii ameninţărilor devin capabili să transfere BTC din portofelul victimei în portofelul lor folosind infecţii web.
Analiza tehnică detaliată a malware-ului este disponibilă pe Securelist.
Pentru a maximiza beneficiile utilizarea în siguranţă a criptomonedelor, experţii Kaspersky recomandă:
Atenţia sporită la escrocherii de tip phishing: atacatorii folosesc adesea e-mailuri de phishing sau site-uri web false pentru a păcăli oamenii să-şi dezvăluie acreditările de conectare sau cheile private. Verificaţi întotdeauna URL-ul site-ului web şi nu faceţi click pe niciun link suspect.
Nu împărtăşiţi cheile private: cheile private vă deblochează portofelul cu criptomonede. Acestea trebuie să rămână private şi nu le distribuiţi niciodată nimănui.
Rămâneţi la curent cu cele mai recente ameninţări cibernetice şi cele mai bune practici pentru a vă păstra criptomonedele în siguranţă. Cu cât ştiţi mai multe despre cum să vă protejaţi, cu atât veţi fi mai bine echipaţi pentru a preveni atacurile cibernetice.
Cercetaţi înainte de a investi: înainte de a investi în orice criptomonedă, cercetaţi amănunţit proiectul şi echipa din spatele acestuia. Verificaţi site-ul web al proiectului, white paper şi canalele de social media pentru a vă asigura că proiectul este legitim.
Utilizaţi soluţii de securitate: o soluţie de securitate fiabilă vă va proteja dispozitivele de diferite tipuri de ameninţări. Kaspersky Premium previne toate fraudele legate de criptomonede cunoscute şi necunoscute, precum şi utilizarea neautorizată a puterii de procesare a computerului dumneavoastră pentru a extrage criptomonede.