Siber güvenlik araştırmacıları, şüphelenmeyen kullanıcılar bir işlem başlattığında cüzdan adreslerini gizlice değiştirerek kripto para birimini çalmak için tasarlanmış aktif bir tarayıcı uzantısı kampanyasını işaretledi.
Kripto para kesme aracı etkinliği, McAfee Labs tarafından Silent Swap olarak kodlandı.
Siber güvenlik şirketi, The Hacker News ile paylaşılan bir teknik raporda, "Kampanya, hem .NET hem de Golang varyantlarında gözlemlenen, iyi huylu bir 'Google Notes' yardımcı programı gibi görünen kötü amaçlı bir Chromium uzantısı dağıtan imzasız yükleyiciler aracılığıyla sunuluyor." dedi.
BaseZipInstaller adlı imzasız .NET yükleyicisi, sistemi Chromium tabanlı tarayıcılara karşı tarayarak kötü amaçlı tarayıcı uzantısı için temel görevi gören bir ZIP arşivini almak üzere tasarlanmıştır. Bu tarayıcılarda algılanan her profil için, tarayıcı işlemini zorla sonlandırır ve Güvenli Tercihler ve Tercihler dosyalarını değiştirerek uzantıyı ekler.
Uzantının nihai amacı, fonları saldırganın kontrol ettiği bir cüzdana yeniden yönlendirmek amacıyla sistem panosuna kopyalanan cüzdan adreslerini yakalayıp değiştirebilen bir kesme aracı görevi görmektir. Sahte Google Notes uzantısı, hedeflerini gerçekleştirmek için kullanıcılardan panoya, tüm URL'lere ve göz atma geçmişine erişme izinlerini vermesini istiyor.
Blockchain üzerindeki çoğu işlem geri döndürülemez olduğundan, adres değişimi kalıcı mali kayıpla sonuçlanabilir. McAfee Labs, etkinliğin, kripto kırpıcı sağlayan önceki bir CountLoader kampanyasıyla örtüştüğünü ve kanıtların her iki kümenin arkasında aynı tehdit aktörüne işaret ettiğini söyledi.
Silent Swap'ı diğerlerinden ayıran şey, aktif komuta ve kontrol (C2) sunucusu ayrıntılarını almak için blok zincirini ölü bırakma çözümleyicisi olarak kullanan EtherHiding adı verilen bir tekniğin kullanılmasıdır. Bu, saldırganın, kötü amaçlı yazılımın kendisini yeniden dağıtmak yerine, yeni etki alanını işaret edecek şekilde akıllı sözleşme değerini önemsiz bir şekilde güncellemesine olanak tanır.
İkinci husus, korumalı tarayıcı ayarları dosyalarını değiştirerek tarayıcı uzantısının Google Chrome, Microsoft Edge, Brave ve Vivaldi gibi Chromium tabanlı tarayıcılara gizli kurulumuyla ilgilidir. Ancak saldırı, tarayıcıların daha yeni sürümleri için geliştirici modunun etkinleştirilmesine dayanıyor; bu, bir tehdit aktörünün sosyal mühendislik taktikleri yoluyla başarabileceği bir şey.
McAfee, "Normalde bu tarayıcılar, yetkisiz değişiklikleri tespit etmek için güvenlik doğrulama verilerini (karma/HMAC değerleri) hassas ayarlarla birlikte saklar" dedi. "Kötü amaçlı yazılım, dosyalara müdahale ettikten sonra bu güvenlik değerlerini yeniden hesaplayıp güncelleyerek tarayıcıyı, kötü amaçlı uzantının yasal olarak yüklendiğine inandıracak şekilde kandırıyor."
"Bu, uzantının normal uzantı web mağazası kurulum sürecini atlamasına ve kullanıcının onayı olmadan sessizce yüklenmesine olanak tanıyor."
Kampanyanın devamlılık ve kaçınma duruşu, kasıtlı ve katmanlı olarak nitelendirildi; öncelikli odak noktası, son kullanıcı için düşük görünürlük ve yayından kaldırma ve statik analize karşı yüksek dayanıklılık sağlamaktı. Kalıcılık, tarayıcının Güvenli Tercihler dosyası değiştirilerek uzantının kaydedilmesiyle sağlanır, böylece sonraki tarayıcı açılışlarında ayrı bir mekanizmaya ihtiyaç duyulmadan yüklenir.
Ek olarak, kötü amaçlı yazılım, Brave ve Opera'da geliştirici modunu programlı olarak etkinleştirmeye çalışıyor ve yükleyici, yürütüldükten sonra otomatik olarak siliniyor ve başlangıçtaki tehlike göstergesini etkili bir şekilde ortadan kaldırıyor. Başka bir kaçırma tekniği, kurbanın orijinal adresine karşılık gelen bir yedek adresin getirilmesinden sorumlu olan dinamik cüzdan ikamesinin kullanılmasıdır.
McAfee, "Ele geçirilen cüzdan adresini saldırganın arka ucuna gönderiyor ve orijinal adresi dinamik olarak değiştirmek için yanıtı kullanıyor" dedi. "Arka uç isteği başarısız olursa, işlev önceden tanımlanmış, sabit kodlu bir cüzdan adresine geri dönerek, kötü amaçlı faaliyetlerin kesintisiz olmasını sağlar."
Bitcoin (BTC) ile ilişkili her cüzdan adresi eşleştirme modeli için Ethereum
, Bitcoin Cash, Ripple ve Dash, sunucu tarafında saldırgan tarafından kontrol edilen benzersiz bir adresle eşleştirilir. Bunun aksine, gönderilen tüm Solana adresleri tek bir saldırgan adresine çözümlenir. Bu yazının yazıldığı an itibarıyla Solana adresinin bakiyesinin 1.902,45 dolar olduğu tespit edildi.
"Gönderilen her adres, saldırgan tarafından kontrol edilen benzersiz bir adresle eşleştirilir. Aynı orijinalin yeniden gönderilmesi, aynı değiştirmeyi döndürür; bu, sunucu tarafında deterministik bire bir eşlemenin korunduğunu gösterir.
Telemetri verileri, enfeksiyonların küresel olarak dağıldığını ve Hindistan'da daha yüksek sayıda mağdurun rapor edildiğini gösteriyor. Kampanyadan etkilenen diğer ülkeler arasında ABD, Brezilya, Endonezya ve İspanya yer alıyor.
McAfee, "Bu kampanya, tüketici hedefli kripto para hırsızlığının nereye doğru gittiğinin kısa bir örneğidir" dedi. "Statik saldırgan adresleri, sunucu taraflı, kurban başına eşlemeyle değiştirildi. Kırılgan, sabit kodlu komuta ve kontrol alanlarının yerini, bir operatörün tek bir işlemle döndürebileceği, blockchain çözümlü bir arama aldı."
Ücretsiz VPN Gibi Görünen Chrome ve Firefox Uzantıları Pano Hırsızları Ekliyor
Açıklama, Socket'in, her ikisi de Chrome Web Mağazası ve Firefox Eklentileri pazarında "VPN Go: Ücretsiz VPN" adını taşıyan bir çift kötü amaçlı Chrome ve Mozilla Firefox tarayıcı uzantısı hakkında rapor vermesiyle geldi.
Soket araştırmacıları Kirill Boychenko ve Kush Pandya, "Her iki uzantı da kendilerini ücretsiz VPN araçları olarak sunuyor ve görünür proxy işlevselliği içeriyor" dedi. "Kapsamın altında, her ikisi de kopyalanan metni sürekli izleyen ve aktörlerin kontrol ettiği altyapıyı tehdit edecek şekilde sızdıran kötü amaçlı pano hırsızlığı mantığı içeriyor."
Davranış, operatörlerin şifreler, kimlik doğrulama kodları, API anahtarları, OAuth belirteçleri ve tohum ifadeleri dahil her türlü hassas veriyi çekmesine olanak tanıdığından cüzdan adreslerinin ötesine geçiyor.
Uzantıların daha ayrıntılı incelenmesi, aşamalı bir kötü amaçlı güncelleme modelini ortaya çıkardı; burada uzantı geliştiricisi, sonraki bir güncelleme aracılığıyla pano çalma özelliğini sunmadan önce başlangıçta uzantının vitrininde zararsız bir sürüm yayınladı.
Chrome uzantısının 1.1 ve 1.2 sürümlerinin pano verilerini "178.236.252[.]133"e sızdırdığı tespit edilirken, 1.3 sürümünün sızıntı kanalını farklı bir IP adresine ("77.91.123[.]187") geçirdiği tespit edildi. Firefox eşdeğeri durumunda, 1.3.3, pano hırsızını içeren ve bilgileri "178.236.252[.]133" adresine gönderen ilk sürümdür. 1.3.4 güncellemesi altyapıyı "77.91.123[.]187"ye taşıyor.
Uzantılardan herhangi birini yükleyen kullanıcılara, bunları derhal kaldırmaları ve uzantı etkinken kopyalanan tüm gizli bilgileri tehlikeye atılmış olarak değerlendirmeleri önerilir.
Socket, "Statik kod, uzantıların yalnızca sahte bir VPN arayüzü görüntülemekle kalmayıp, proxy araçları olarak işlev görecek şekilde tasarlandığını göstermek için yeterli" dedi. "Proxy özelliği, tarayıcı trafiğini tehdit aktörleri tarafından sağlanan altyapı üzerinden yönlendirebildiği, düz metin HTTP trafiğini ve bağlantı meta verilerini açığa çıkarabildiği ve pano monitörü paralel olarak çalışırken uzantının kullanışlı görünmesini sağladığı için riski hâlâ artırıyor."