XRP và BTC nằm trong số các đồng tiền bị nhắm đến trong chiến dịch phần mềm độc hại mới

2 giờ trước đây
3 phút đọc
2 lượt xem

Chiến dịch phần mềm độc hại “Silent Swap”

Các nhà nghiên cứu an ninh mạng tại McAfee Advanced Threat Research đã phát hiện một chiến dịch phần mềm độc hại tinh vi mang tên “Silent Swap”. Chiến dịch này sử dụng một tiện ích mở rộng trình duyệt độc hại để chặn và sửa đổi clipboard của người dùng, từ đó thay thế địa chỉ ví tiền điện tử hợp pháp bằng các địa chỉ giả mạo. Các đối tượng xấu đang nhắm đến Bitcoin (BTC), Ethereum (ETH), XRP, Bitcoin Cash, Dash, cùng nhiều loại tiền điện tử khác.

Tính năng nổi bật của Silent Swap

Silent Swap khác biệt so với các “crypto clippers” truyền thống nhờ vào mức độ tinh vi đáng báo động của nó. Chiến dịch này dựa vào việc thao túng trình duyệt, sử dụng cơ sở hạ tầng chỉ huy và kiểm soát (C2) phi tập trung, cùng với các kỹ thuật tiên tiến khác. Sự lây nhiễm thường bắt đầu khi nạn nhân tải xuống các trình cài đặt .NET hoặc Golang không có chữ ký, thường được ngụy trang dưới dạng các phiên bản miễn phí hoặc đã bẻ khóa của phần mềm hợp pháp.

Cách thức hoạt động của Silent Swap

Trình cài đặt này sau đó triển khai một tiện ích mở rộng độc hại giả dạng như một ứng dụng “Google Notes” vô hại. Bằng cách can thiệp vào các tệp cấu hình của trình duyệt, Silent Swap tự động cài đặt vào các trình duyệt dựa trên Chromium, bao gồm Google Chrome, Microsoft Edge, BraveOpera. Thông thường, các trình duyệt Chromium lưu trữ dữ liệu xác minh bảo mật, nhưng Silent Swap vượt qua hàng rào này bằng cách tính toán lại và cập nhật các giá trị bảo mật sau khi tiêm mã độc của nó.

Quy trình tấn công

Tiện ích mở rộng “Google Notes” được cài đặt bởi các nạn nhân không hay biết tự cấp quyền xâm nhập. Ngay khi tiện ích này phát hiện một địa chỉ đã sao chép khớp với các mẫu regex cho BTC, ETH, XRP, Bitcoin Cash hoặc Dash, nó không sử dụng một sự thay thế cứng. Thay vào đó, nó sẽ truy vấn máy chủ backend của kẻ tấn công.

Các đối tượng độc hại đứng sau Silent Swap cũng không mã hóa các miền chỉ huy và kiểm soát (C2) của họ trong phần mềm độc hại. Thay vào đó, họ sử dụng một kỹ thuật được gọi là “EtherHiding”. Silent Swap có dấu chân lây nhiễm phân phối toàn cầu, với sự tập trung nạn nhân đặc biệt cao ở Ấn Độ.