Kampanye Malware Silent Swap
Peneliti keamanan siber dari McAfee Advanced Threat Research telah mengungkapkan adanya kampanye malware pencurian cryptocurrency yang sangat canggih, yang dikenal dengan nama “Silent Swap.” Kampanye ini memanfaatkan ekstensi browser berbahaya untuk mencegat dan memodifikasi clipboard pengguna, sehingga dapat menukar alamat dompet cryptocurrency yang sah dengan alamat palsu. Para pelaku kejahatan siber ini memburu berbagai cryptocurrency, termasuk Bitcoin (BTC), Ethereum (ETH), XRP, Bitcoin Cash, Dash, dan lainnya.
Kecanggihan Silent Swap
Silent Swap berbeda dari “crypto clippers” yang lebih primitif karena tingkat kecanggihannya yang mengkhawatirkan. Kampanye ini mengandalkan manipulasi browser yang rumit, infrastruktur perintah dan kontrol (C2) yang terdesentralisasi, serta teknik-teknik mutakhir lainnya. Infeksi biasanya dimulai ketika korban mengunduh installer .NET atau Golang yang tidak ditandatangani, yang sering kali disamarkan sebagai versi gratis atau bajakan dari perangkat lunak yang sah. Installer tersebut kemudian menyebarkan ekstensi berbahaya yang menyamar sebagai aplikasi “Google Notes” yang tampak tidak berbahaya.
Metode Penyebaran dan Infeksi
Dengan mengubah file konfigurasi browser, Silent Swap secara paksa menyisipkan dirinya ke dalam browser berbasis Chromium, termasuk Google Chrome, Microsoft Edge, Brave, dan Opera. Biasanya, browser Chromium menyimpan data verifikasi keamanan, namun Silent Swap dapat melewati pertahanan ini dengan menghitung ulang dan memperbarui nilai-nilai keamanan setelah menyuntikkan kodenya.
Fungsi Ekstensi Berbahaya
Ekstensi “Google Notes” yang diinstal oleh korban yang tidak menyadari memberikan izin yang invasif. Begitu ekstensi mendeteksi alamat yang disalin yang cocok dengan pola regex untuk BTC, ETH, XRP, Bitcoin Cash, atau Dash, ia tidak menggunakan penggantian yang dikodekan keras. Sebaliknya, ekstensi tersebut mengajukan permintaan ke server backend penyerang. Para pelaku jahat di balik Silent Swap juga tidak mengkodekan domain perintah dan kontrol (C2) mereka ke dalam malware. Sebagai gantinya, mereka menggunakan teknik yang dikenal sebagai “EtherHiding.”
Jejak Infeksi Global
Silent Swap memiliki jejak infeksi yang tersebar secara global, dengan konsentrasi korban yang sangat tinggi di India.