XRP at BTC Kabilang sa mga Barya na Target ng Bagong Malware Campaign – U.Today

2 mga oras nakaraan
1 min basahin
2 view

Silent Swap: Isang Sophisticated na Malware Campaign

Natuklasan ng mga mananaliksik sa cybersecurity mula sa McAfee Advanced Threat Research ang isang napaka-sopistikadong kampanya ng malware na nagnanakaw ng cryptocurrency na tinatawag na “Silent Swap.” Umaasa ito sa isang mapanlinlang na browser extension upang salain at baguhin ang mga clipboard ng gumagamit, at pagkatapos ay palitan ang mga lehitimong address ng cryptocurrency wallet ng mga pekeng address.

Target na Cryptocurrency

Ang mga masamang aktor ay naghahanap ng Bitcoin (BTC), Ethereum (ETH), XRP, Bitcoin Cash, Dash, at iba pang mga cryptocurrency. Ang Silent Swap ay naiiba mula sa mga primitive na “crypto clippers” dahil sa nakakabahalang antas ng sopistikasyon nito.

Mga Teknikal na Aspeto ng Silent Swap

Umaasa ang kampanya sa advanced na manipulasyon ng browser, decentralized command-and-control (C2) infrastructure, at iba pang makabagong teknolohiya. Karaniwang nagsisimula ang impeksyon sa pamamagitan ng pag-download ng biktima ng unsigned .NET o Golang installers, na kadalasang nakatago bilang mga libreng o cracked na bersyon ng lehitimong software.

Ang installer ay nag-de-deploy ng isang mapanlinlang na extension na nagpapanggap bilang isang benign na “Google Notes” application. Sa pamamagitan ng pag-aabala sa mga configuration files ng browser, sapilitang inilalagay ng Silent Swap ang sarili nito sa mga Chromium-based na browser, kabilang ang Google Chrome, Microsoft Edge, Brave, at Opera.

Pagsusuri sa Seguridad

Karaniwan, ang mga Chromium browser ay nag-iimbak ng data para sa seguridad. Nilalampasan ng Silent Swap ang depensang ito sa pamamagitan ng muling pagkalkula at pag-update ng mga halagang ito ng seguridad pagkatapos i-inject ang kanyang code. Ang “Google Notes” extension, na na-install ng mga biktima na hindi nakakaalam, ay nagbibigay ng invasive permissions sa sarili nito.

Pagpapalit ng Address

Sa sandaling madetect ng extension ang isang kinopyang address na tumutugma sa regex patterns para sa BTC, ETH, XRP, Bitcoin Cash, o Dash, hindi ito gumagamit ng hardcoded na kapalit. Sa halip, nagtatanong ito sa backend server ng umaatake.

EtherHiding Technique

Ang mga masamang aktor sa likod ng Silent Swap ay hindi rin hardcode ang kanilang mga command-and-control (C2) domains sa malware. Sa halip, gumagamit sila ng isang teknika na kilala bilang “EtherHiding.”

Global na Distribusyon

Ang Silent Swap ay may pandaigdigang distribusyon ng impeksyon, na may partikular na mataas na konsentrasyon ng mga biktima sa India.