Pesquisadores de cibersegurança identificaram uma campanha ativa de extensão de navegador projetada para roubar criptomoedas, substituindo de forma discreta os endereços de carteira quando usuários desatentos iniciam uma transação.
A atividade do clipper de criptomoedas foi batizada de Silent Swap pelo McAfee Labs.
"A campanha é distribuída por meio de instaladores não assinados — observados nas variantes .NET (framework da Microsoft) e Golang — que implantam uma extensão maliciosa do Chromium se passando por um utilitário 'Google Notes' aparentemente inofensivo", afirmou a empresa de cibersegurança em um relatório técnico compartilhado com o The Hacker News.
O instalador .NET não assinado, chamado BaseZipInstaller, foi projetado para obter um arquivo ZIP que serve como base para a extensão maliciosa do navegador, buscando no sistema os navegadores baseados em Chromium. Para cada perfil detectado nesses navegadores, ele encerra à força o processo do navegador e injeta a extensão modificando os arquivos Secure Preferences e Preferences.
O objetivo final da extensão é atuar como um clipper capaz de interceptar e manipular endereços de carteira copiados na área de transferência do sistema, com a meta de redirecionar os fundos para uma carteira controlada pelo atacante. Para atingir seus objetivos, a falsa extensão Google Notes solicita aos usuários que concedam permissões de acesso à área de transferência, a todos os endereços de URL e ao histórico de navegação.
Como a maioria das transações na blockchain é irreversível, uma troca de endereço pode resultar em perda financeira permanente. O McAfee Labs afirmou que a atividade se sobrepõe a uma campanha CountLoader anterior, que distribuía um clipper de criptomoedas, com indícios apontando para o mesmo grupo de ameaça por trás dos dois ataques.
O que faz o Silent Swap se destacar é o uso de uma técnica chamada EtherHiding, que utiliza a blockchain como um resolvedor de ponto morto para obter os dados do servidor de comando e controle (C2) ativo. Isso permite que o atacante atualize de forma trivial o valor de um contrato inteligente para apontar para o novo domínio, em vez de precisar reimplantar o próprio malware.
O segundo aspecto envolve a instalação oculta da extensão do navegador em navegadores baseados em Chromium, como Google Chrome, Microsoft Edge, Brave e Vivaldi, por meio da modificação de arquivos de configurações protegidos. O ataque, no entanto, depende da ativação do modo de desenvolvedor nas versões mais recentes dos navegadores, algo que um agente de ameaça pode conseguir por meio de táticas de engenharia social.
"Normalmente, esses navegadores armazenam dados de verificação de segurança — valores de hash e HMAC (Código de Autenticação de Mensagem baseado em Hash) — junto com configurações sensíveis para detectar alterações não autorizadas", disse a McAfee. "O malware recalcula e atualiza esses valores de segurança após adulterar os arquivos, enganando o navegador para acreditar que a extensão maliciosa foi instalada legitimamente."
"Isso permite que a extensão contorne o processo normal de instalação pela loja de extensões e carregue silenciosamente, sem a aprovação do usuário."
A persistência e a postura de evasão da campanha foram descritas como deliberadas e em camadas, com foco principal em manter baixa visibilidade para o usuário final e alta resiliência contra tentativas de remoção e análise estática. A persistência é estabelecida ao registrar a extensão por meio da alteração do arquivo Secure Preferences do navegador, fazendo com que ela seja carregada em inicializações subsequentes, sem a necessidade de um mecanismo separado.
Além disso, o malware tenta ativar o modo de desenvolvedor de forma programática no Brave e no Opera, e o instalador é autoapagado após a execução, removendo efetivamente um indicador inicial de comprometimento. Outra técnica de evasão é o uso de substituição dinâmica de carteiras, responsável por buscar um endereço substituto correspondente ao endereço original da vítima.
"Ele envia o endereço de carteira interceptado para o backend (servidor de retaguarda) do atacante e usa a resposta para substituir dinamicamente o endereço original", disse a McAfee. "Se a requisição ao backend falhar, a função recorre a um endereço de carteira predefinido e codificado, garantindo a continuidade da atividade maliciosa."
Para cada endereço de carteira que corresponda a padrões associados a Bitcoin (BTC), Ethereum, Bitcoin Cash, Ripple e Dash, é feito um mapeamento para um endereço único controlado pelo atacante no lado do servidor. Por outro lado, todos os endereços de Solana enviados são resolvidos para um único endereço do atacante. Até o momento da redação, verificou-se que o endereço de Solana possui um saldo de US$ 1.902,45.
"Cada endereço enviado é mapeado para um endereço único controlado pelo atacante. Reenviar o mesmo endereço original retorna a mesma substituição, indicando um mapeamento determinístico de um para um mantido no lado do servidor."
Dados de telemetria sugerem que as infecções estão distribuídas globalmente, com maior concentração de vítimas relatada na Índia. Outros países impactados pela campanha incluem Estados Unidos, Brasil, Indonésia e Espanha.
"Esta campanha é uma ilustração concisa de para onde caminha o roubo de criptomoedas voltado ao consumidor", disse a McAfee. "Endereços estáticos de atacantes foram substituídos por um mapeamento por vítima no lado do servidor. Domínios de comando e controle frágeis e codificados foram substituídos por uma consulta resolvida via blockchain que um operador pode rotacionar com uma única transação."
Extensões de Chrome e Firefox que se passam por VPNs gratuitas adicionam ladrões de área de transferência
A divulgação acontece no momento em que a Socket reportou sobre um par de extensões maliciosas para Chrome e Mozilla Firefox, ambas com o nome "VPN Go: Free VPN" (VPN Grátis) na Chrome Web Store e no marketplace de Complementos do Firefox.
"Ambas as extensões se apresentam como ferramentas de VPN (Rede Privada Virtual) gratuitas e incluem funcionalidade de proxy visível", disseram os pesquisadores da Socket Kirill Boychenko e Kush Pandya em comunicado. "Por trás, ambas contêm lógica maliciosa de roubo de área de transferência que monitora continuamente o texto copiado e o exfiltra para uma infraestrutura controlada pelo agente de ameaça."
O comportamento vai além dos endereços de carteira, pois permite que os operadores desviem todos os tipos de dados sensíveis, incluindo senhas, códigos de autenticação, chaves de API (Interface de Programação de Aplicações), tokens OAuth (protocolo de autorização aberto) e frases-semente.
Um exame mais detalhado das extensões revelou um padrão de atualização maliciosa em estágios, no qual o desenvolvedor publicou inicialmente uma versão benigna na loja de extensões antes de introduzir a capacidade de roubo da área de transferência por meio de uma atualização posterior.
Embora as versões 1.1 e 1.2 da extensão do Chrome tenham sido identificadas como aquelas que exfiltram dados da área de transferência para "178.236.252[.]133", a versão 1.3 muda o canal de exfiltração para um endereço de IP (Protocolo de Internet) diferente ("77.91.123[.]187"). No caso do equivalente para Firefox, a versão 1.3.3 é a primeira a incluir o ladrão de área de transferência e enviar as informações para "178.236.252[.]133". A atualização 1.3.4 migra a infraestrutura para "77.91.123[.]187".
Usuários que tenham instalado qualquer uma das extensões são aconselhados a removê-las imediatamente e a tratar como comprometidos quaisquer segredos expostos enquanto a extensão esteve ativa.
"O código estático é suficiente para mostrar que as extensões foram projetadas para funcionar como ferramentas de proxy, e não apenas para exibir uma interface falsa de VPN", disse a Socket. "A capacidade de proxy ainda aumenta o risco, pois pode rotear o tráfego do navegador por meio de infraestrutura fornecida pelo agente de ameaça, expor tráfego HTTP (Protocolo de Transferência de Hipertexto) em texto plano e metadados de conexão, além de fazer a extensão parecer útil enquanto o monitor de área de transferência é executado em paralelo."