新型恶意软件“Silent Swap”针对XRP和BTC等加密货币

4 小时前
閱讀 2 分鐘
5 視圖

Silent Swap:复杂的加密货币盗窃恶意软件

网络安全研究人员在McAfee高级威胁研究部门发现了一种极其复杂的加密货币盗窃恶意软件活动,名为“Silent Swap”。该恶意软件依赖于一个恶意浏览器扩展程序,能够拦截和修改用户的剪贴板内容,从而将合法的加密货币钱包地址替换为虚假的地址。这些不法分子主要针对比特币(BTC)、以太坊(ETH)、瑞波币(XRP)、比特币现金(BCH)、达世币(Dash)以及其他加密货币。

恶意软件的复杂性

与传统的“加密剪贴板”恶意软件相比,Silent Swap展现出令人担忧的复杂性。该活动依赖于先进的浏览器操控、去中心化的指挥与控制(C2)基础设施以及其他尖端技术。

感染过程

感染通常始于受害者下载未签名的.NET或Golang安装程序,这些程序通常伪装成合法软件的免费或破解版本。安装程序随后会部署一个伪装成无害的“Google Notes”应用程序的恶意扩展。通过篡改浏览器的配置文件,Silent Swap强行将自己加载到基于Chromium的浏览器中,包括谷歌Chrome、微软Edge、Brave和Opera

绕过安全机制

通常,Chromium浏览器会存储安全验证数据。Silent Swap通过在注入其代码后重新计算和更新这些安全值来绕过这一防御机制。被不知情的受害者安装的“Google Notes”扩展程序会授予自己侵入性的权限。一旦该扩展检测到与BTC、ETH、XRP、比特币现金或达世币的正则表达式模式匹配的复制地址,它不会使用硬编码的替换,而是查询攻击者的后端服务器。

指挥与控制技术

Silent Swap背后的恶意行为者同样没有将其指挥与控制(C2)域名硬编码到恶意软件中,而是利用了一种名为“EtherHiding”的技术。Silent Swap在全球范围内造成了广泛的感染,尤其在印度的受害者数量较高