返回
快讯

伪装 Google Notes 的浏览器扩展 Silent Swap 偷换加密货币地址

McAfee 发现名为 Silent Swap 的恶意浏览器扩展活动,借伪装成 Google Notes 的安装器注入 Chromium 扩展,拦截并替换钱包地址,将转账资金导向攻击者钱包,已波及多国。

网络安全研究人员已标记出一项活跃的浏览器扩展活动,其设计目的是在毫无戒心的用户发起交易时,悄悄替换钱包地址,从而窃取加密货币。

这种加密货币剪贴器活动被 McAfee Labs 代号命名为 Silent Swap。

“该活动通过未签名安装程序分发——我们观察到 .NET 和 Golang 变体——这些安装程序会部署一个恶意 Chromium 扩展,并伪装成无害的‘Google Notes’工具,”这家网络安全公司在与 The Hacker News 分享的一份技术报告中表示。

这个未签名的 .NET 安装程序名为 BaseZipInstaller,其设计用于检索一个 ZIP 压缩包;该压缩包通过扫描系统中的基于 Chromium 的浏览器,为恶意浏览器扩展奠定基础。对于这些浏览器中检测到的每个配置文件,它都会强制终止浏览器进程,并通过修改 Secure Preferences 和 Preferences 文件来注入该扩展。

该扩展的最终目标是充当一个剪贴器,能够拦截并篡改复制到系统剪贴板中的钱包地址,目的是将资金重定向到攻击者控制的钱包。为了实现其目的,这个伪造的 Google Notes 扩展会请求用户授予其访问剪贴板、所有 URL 以及浏览历史的权限。

由于区块链上的大多数交易都不可逆,地址替换可能导致永久性的财务损失。McAfee Labs 表示,该活动与先前投放加密货币剪贴器的 CountLoader 活动存在重叠,并有证据指向这两个集群背后是同一威胁行为者。

Silent Swap 的特别之处在于使用了一种名为 EtherHiding 的技术,该技术利用区块链作为 dead drop resolver 来检索活动的命令与控制(C2)服务器详情。这使得攻击者只需轻松更新智能合约值以指向新域名,而不必重新部署恶意软件本身。

第二个方面涉及通过修改受保护的浏览器设置文件,在基于 Chromium 的浏览器(如 Google Chrome、Microsoft Edge、Brave 和 Vivaldi)上秘密安装浏览器扩展。不过,这次攻击依赖于为较新版本的浏览器启用开发者模式,而威胁行为者可以通过社会工程手法来实现这一点。

“通常,这些浏览器会将安全验证数据(hash/HMAC 值)与敏感设置一同存储,以检测未授权更改,”McAfee 表示。“恶意软件在篡改这些文件后会重新计算并更新这些安全值,欺骗浏览器相信该恶意扩展是合法安装的。”

“这使得该扩展能够绕过正常的扩展 Web Store 安装流程,并在没有用户批准的情况下静默加载。”

该活动在持久化和规避方面的表现被描述为有意且分层设计,主要重点是对最终用户保持低可见性,并对清除行动和静态分析具有较高韧性。持久化是通过修改浏览器的 Secure Preferences 文件来注册该扩展,从而建立的,使其在后续浏览器启动时加载,而无需单独的机制。

此外,恶意软件还试图以程序化方式在 Brave 和 Opera 中启用开发者模式,并且安装程序会在执行后自删除,从而有效移除初始入侵的指示迹象。另一种规避技术是使用动态钱包替换,其负责获取与受害者原始地址相对应的替换地址。

“它会将拦截到的钱包地址发送到攻击者后端,并使用响应动态替换原始地址,”McAfee 表示。“如果后端请求失败,该函数会回退到预定义的硬编码钱包地址,确保恶意活动不中断。”

对于每一个符合 Bitcoin (BTC)、Ethereum、Bitcoin Cash、Ripple 和 Dash 相关模式的钱包地址,服务器端都会将其映射到一个独特的、由攻击者控制的地址。相比之下,所有提交的 Solana 地址都会解析为同一个攻击者地址。截至撰写时,发现该 Solana 地址的余额为 1,902.45 美元。

“每个提交的地址都会映射到一个独特的、由攻击者控制的地址。重新提交同一个原始地址会返回相同的替换结果,这表明服务器端维护着确定性的、一对一映射。

遥测数据显示,感染分布在全球范围内,但印度报告的受害者更为集中。受该活动影响的其他国家包括美国、巴西、印度尼西亚和西班牙。

“这次活动简明地展示了面向消费者的加密货币盗窃正在走向何方,”McAfee 表示。“静态攻击者地址已被服务器端、按受害者映射所取代。脆弱、硬编码的命令与控制域名已被一种基于区块链解析的查找所取代,而操作者只需一笔交易即可轮换该查找。”

伪装成免费 VPN 的 Chrome 和 Firefox 扩展加入剪贴板窃取器

这一披露出现之际,Socket 报告称发现一对恶意的 Chrome 和 Mozilla Firefox 浏览器扩展,它们在 Chrome Web Store 和 Firefox Add-ons 市场上都使用了“VPN Go: Free VPN”这一名称。

“这两个扩展都将自己呈现为免费 VPN 工具,并包含可见的代理功能,”Socket 研究人员 Kirill Boychenko 和 Kush Pandya 表示。“在底层,这两个扩展也都包含恶意的剪贴板窃取逻辑,会持续监控复制的文本,并将其外传到由威胁行为者控制的基础设施。”

这种行为不只限于钱包地址,因为它使操作者能够窃取各种敏感数据,包括密码、身份验证代码、API 密钥、OAuth 令牌和种子短语。

对这些扩展的进一步检查揭示出一种分阶段的恶意更新模式,即扩展开发者最初先在扩展商店发布一个无害版本,随后再通过后续更新引入剪贴板窃取能力。

虽然已发现 Chrome 扩展的 1.1 和 1.2 版本会将剪贴板数据外传至“178.236.252[.]133”,但 1.3 版本把外传通道切换到了另一个 IP 地址(“77.91.123[.]187”)。对于其 Firefox 对应版本而言,1.3.3 是首个包含 clipboard stealer 并将信息发送至“178.236.252[.]133”的版本。1.3.4 更新则把基础设施迁移到了“77.91.123[.]187”。

已安装这两个扩展中的任意一个的用户,建议立即将其移除,并将扩展处于活动状态时复制的任何 secrets 视为已泄露。

Socket 表示:“静态代码已经足以说明这些扩展被设计为 proxy tools,而不只是显示一个假的 VPN 界面。proxy 能力仍然会增加风险,因为它可以将 browser 流量经由 threat actor 提供的基础设施路由,暴露明文 HTTP 流量和连接元数据,并在 clipboard monitor 运行的同时,让该扩展看起来很有用。”