XRP และ BTC อยู่ในกลุ่มเหรียญที่ถูกโจมตีในแคมเปญมัลแวร์ใหม่ – U.Today

4 ชั่วโมง ที่ผ่านมา
อ่าน 6 นาที
3 มุมมอง

การค้นพบแคมเปญมัลแวร์ “Silent Swap”

นักวิจัยด้านความปลอดภัยไซเบอร์จาก McAfee Advanced Threat Research ได้ค้นพบแคมเปญมัลแวร์ที่ซับซ้อนในการขโมยสกุลเงินดิจิทัล ซึ่งเรียกว่า “Silent Swap” โดยใช้ส่วนขยายเบราว์เซอร์ที่เป็นอันตรายในการดักจับและแก้ไขคลิปบอร์ดของผู้ใช้ จากนั้นเปลี่ยนที่อยู่กระเป๋าเงินสกุลเงินดิจิทัลที่ถูกต้องให้เป็นที่อยู่ปลอม ผู้กระทำผิดกำลังมุ่งเป้าไปที่ Bitcoin (BTC), Ethereum (ETH), XRP, Bitcoin Cash, Dash และสกุลเงินดิจิทัลอื่น ๆ

ความแตกต่างจาก “crypto clippers” แบบดั้งเดิม

Silent Swap แตกต่างจาก “crypto clippers” แบบดั้งเดิม เนื่องจากมีระดับความซับซ้อนที่น่าตกใจ แคมเปญนี้พึ่งพาการจัดการเบราว์เซอร์ขั้นสูง โครงสร้างพื้นฐานการควบคุมและสั่งการแบบกระจาย (C2) และเทคนิคที่ทันสมัยอื่น ๆ

วิธีการติดเชื้อ

การติดเชื้อมักเริ่มต้นเมื่อเหยื่อดาวน์โหลดโปรแกรมติดตั้ง .NET หรือ Golang ที่ไม่มีลายเซ็น ซึ่งมักจะแอบแฝงมาในรูปแบบของซอฟต์แวร์ที่ถูกต้องตามกฎหมายที่ฟรีหรือถูกแคร็ก โปรแกรมติดตั้งจะติดตั้งส่วนขยายที่เป็นอันตรายซึ่งปลอมตัวเป็นแอปพลิเคชัน “Google Notes” ที่ไม่เป็นอันตราย

การทำงานของ Silent Swap

โดยการดัดแปลงไฟล์การกำหนดค่าของเบราว์เซอร์ Silent Swap จะบังคับให้ตัวเองติดตั้งในเบราว์เซอร์ที่ใช้ Chromium เช่น Google Chrome, Microsoft Edge, Brave และ Opera โดยปกติแล้ว เบราว์เซอร์ Chromium จะเก็บข้อมูลการตรวจสอบความปลอดภัย แต่ Silent Swap จะหลบเลี่ยงการป้องกันนี้โดยการคำนวณและอัปเดตค่าความปลอดภัยเหล่านี้หลังจากที่ได้ฉีดโค้ดของมันแล้ว

ส่วนขยาย “Google Notes” ที่ติดตั้งโดยเหยื่อที่ไม่รู้ตัวจะให้สิทธิ์ที่รุกรานตัวเอง เมื่อใดก็ตามที่ส่วนขยายตรวจพบที่อยู่ที่ถูกคัดลอกซึ่งตรงกับรูปแบบ regex สำหรับ BTC, ETH, XRP, Bitcoin Cash หรือ Dash มันจะไม่ใช้การแทนที่ที่ถูกกำหนดไว้ล่วงหน้า แต่จะสอบถามเซิร์ฟเวอร์แบ็กเอนด์ของผู้โจมตี

เทคนิคการหลบเลี่ยง

ผู้กระทำผิดที่อยู่เบื้องหลัง Silent Swap ยังไม่ทำการกำหนดโดเมนการควบคุมและสั่งการ (C2) ลงในมัลแวร์ แต่จะใช้เทคนิคที่เรียกว่า “EtherHiding” Silent Swap มีรอยเท้าการติดเชื้อที่กระจายไปทั่วโลก โดยมีความเข้มข้นของเหยื่อสูงเป็นพิเศษในประเทศ อินเดีย.

ล่าสุดจาก Blog