Các nhà nghiên cứu an ninh mạng đã cảnh báo về một chiến dịch tiện ích mở rộng trình duyệt đang hoạt động, được thiết kế để đánh cắp tiền điện tử bằng cách âm thầm thay thế địa chỉ ví khi người dùng bắt đầu giao dịch.
Hoạt động cryptocurrency clipper này đã được McAfee Labs đặt tên mã là Silent Swap.
"Chiến dịch này được phân phối thông qua các trình cài đặt không được ký số – được quan sát thấy ở cả hai biến thể .NET và Golang – triển khai một tiện ích mở rộng Chromium độc hại giả mạo là công cụ 'Google Notes' vô hại," công ty an ninh mạng cho biết trong một báo cáo kỹ thuật chia sẻ với The Hacker News.
Trình cài đặt .NET không được ký số, có tên là BaseZipInstaller, được thiết kế để tải về một tệp lưu trữ ZIP. Tệp này đóng vai trò là nền tảng cho tiện ích mở rộng trình duyệt độc hại bằng cách quét hệ thống để tìm các trình duyệt dựa trên Chromium. Đối với mỗi hồ sơ (profile) được phát hiện trong các trình duyệt đó, nó sẽ buộc chấm dứt quy trình trình duyệt và tiêm (inject) tiện ích mở rộng bằng cách sửa đổi các tệp Secure Preferences và Preferences.
Mục tiêu cuối cùng của tiện ích mở rộng này là hoạt động như một clipper có khả năng chặn và thao túng các địa chỉ ví được sao chép vào clipboard của hệ thống, với mục đích chuyển hướng tiền đến ví do kẻ tấn công kiểm soát. Để thực hiện mục tiêu, tiện ích Google Notes giả mạo yêu cầu người dùng cấp quyền truy cập vào clipboard, tất cả các URL và lịch sử duyệt web.
Vì hầu hết các giao dịch trên blockchain là không thể đảo ngược, việc tráo đổi địa chỉ có thể dẫn đến tổn thất tài chính vĩnh viễn. McAfee Labs cho biết hoạt động này trùng lặp với một chiến dịch CountLoader trước đó từng phát tán crypto clipper, với bằng chứng chỉ ra cùng một tác nhân đe dọa đứng sau cả hai nhóm hoạt động này.
Điều làm cho Silent Swap trở nên khác biệt là việc sử dụng kỹ thuật gọi là EtherHiding, sử dụng blockchain làm dead drop resolver để lấy thông tin chi tiết về máy chủ C2 (command-and-control) đang hoạt động. Điều này cho phép kẻ tấn công cập nhật giá trị smart contract một cách dễ dàng để trỏ đến tên miền mới thay vì phải triển khai lại chính mã độc.
Khía cạnh thứ hai xoay quanh việc cài đặt lén lút tiện ích mở rộng trên các trình duyệt dựa trên Chromium như Google Chrome, Microsoft Edge, Brave và Vivaldi bằng cách sửa đổi các tệp cài đặt trình duyệt được bảo vệ. Tuy nhiên, cuộc tấn công phụ thuộc vào việc bật developer mode cho các phiên bản trình duyệt mới hơn, một điều mà tác nhân đe dọa có thể đạt được thông qua các chiến thuật social engineering.
"Thông thường, các trình duyệt này lưu trữ dữ liệu xác minh bảo mật (giá trị hash/HMAC) cùng với các cài đặt nhạy cảm để phát hiện các thay đổi trái phép," McAfee cho biết. "Mã độc tính toán lại và cập nhật các giá trị bảo mật này sau khi can thiệp vào các tệp, đánh lừa trình duyệt tin rằng tiện ích độc hại đã được cài đặt hợp lệ."
"Điều này cho phép tiện ích mở rộng bỏ qua quy trình cài đặt thông thường của cửa hàng web và tải thầm lặng mà không cần sự đồng ý của người dùng."
Khả năng duy trì sự hiện diện và tư thế lẩn tránh của chiến dịch được đặc trưng là có tính toán và phân lớp, với trọng tâm chính là duy trì khả năng hiển thị thấp đối với người dùng cuối và khả năng phục hồi cao trước việc gỡ bỏ hoặc phân tích tĩnh. Sự hiện diện được thiết lập bằng cách đăng ký tiện ích mở rộng thông qua việc thay đổi tệp Secure Preferences của trình duyệt để nó được tải trong các lần khởi chạy trình duyệt tiếp theo mà không cần cơ chế riêng biệt.
Ngoài ra, mã độc cố gắng kích hoạt developer mode bằng lập trình trong Brave và Opera, và trình cài đặt sẽ tự xóa sau khi thực thi, loại bỏ hiệu quả một dấu hiệu của sự xâm nhập ban đầu. Một kỹ thuật lẩn tránh khác là sử dụng tính năng thay thế ví động, chịu trách nhiệm tìm nạp địa chỉ thay thế tương ứng với địa chỉ gốc của nạn nhân.
"Nó gửi địa chỉ ví bị chặn đến backend của kẻ tấn công và sử dụng phản hồi để thay thế động địa chỉ gốc," McAfee cho biết. "Nếu yêu cầu backend thất bại, chức năng này sẽ quay trở lại một địa chỉ ví được mã hóa cứng (hard-coded) định sẵn, đảm bảo hoạt động độc hại không bị gián đoạn."
Đối với mỗi địa chỉ ví khớp với các định dạng liên quan đến Bitcoin (BTC), Ethereum, Bitcoin Cash, Ripple và Dash, nó được ánh xạ tới một địa chỉ duy nhất do kẻ tấn công kiểm soát ở phía máy chủ. Ngược lại, tất cả các địa chỉ Solana được gửi lên đều trỏ về một địa chỉ duy nhất của kẻ tấn công. Tính đến thời điểm viết bài, địa chỉ Solana đã được tìm thấy có số dư là 1.902,45 USD.
Dữ liệu đo lường từ xa cho thấy các vụ nhiễm mã độc được phân bổ trên toàn cầu, với sự tập trung cao hơn của các nạn nhân được báo cáo ở Ấn Độ. Các quốc gia khác bị ảnh hưởng bởi chiến dịch bao gồm Hoa Kỳ, Brazil, Indonesia và Tây Ban Nha.
"Chiến dịch này là một minh chứng súc tích về hướng đi của việc đánh cắp tiền điện tử nhắm vào người tiêu dùng," McAfee nhận định. "Các địa chỉ ví của kẻ tấn công ở dạng tĩnh đã được thay thế bằng ánh xạ phía máy chủ cho từng nạn nhân. Các tên miền C2 mỏng manh, được mã hóa cứng đã được thay thế bằng việc tra cứu qua blockchain mà người vận hành có thể xoay vòng chỉ với một giao dịch duy nhất."
Tiện ích mở rộng Chrome và Firefox giả mạo VPN miễn phí tích hợp trình đánh cắp Clipboard
Tiết lộ này được đưa ra khi Socket báo cáo về một cặp tiện ích mở rộng trình duyệt Chrome và Mozilla Firefox độc hại, cả hai đều mang tên "VPN Go: Free VPN" trên Chrome Web Store và Firefox Add-ons.
"Cả hai tiện ích mở rộng đều tự giới thiệu là công cụ VPN miễn phí và bao gồm chức năng proxy hiển thị," các nhà nghiên cứu của Socket, Kirill Boychenko và Kush Pandya cho biết. "Bên dưới bề mặt, cả hai cũng chứa logic đánh cắp clipboard độc hại, liên tục theo dõi văn bản được sao chép và trích xuất nó về hạ tầng do tác nhân đe dọa kiểm soát."
Hành vi này không chỉ giới hạn ở các địa chỉ ví, vì nó cho phép những kẻ vận hành hút tất cả các loại dữ liệu nhạy cảm, bao gồm mật khẩu, mã xác thực, API keys, mã thông báo OAuth và seed phrases.
Kiểm tra thêm về các tiện ích mở rộng đã tiết lộ một mô hình cập nhật độc hại theo giai đoạn, trong đó nhà phát triển tiện ích mở rộng ban đầu đã xuất bản một phiên bản vô hại lên cửa hàng trước khi đưa vào khả năng đánh cắp clipboard thông qua một bản cập nhật sau đó.
Mặc dù các phiên bản 1.1 và 1.2 của tiện ích mở rộng Chrome được tìm thấy đã trích xuất dữ liệu clipboard về "178.236.252[.]133", phiên bản 1.3 đã chuyển kênh trích xuất sang một địa chỉ IP khác ("77.91.123[.]187"). Trong trường hợp của Firefox, 1.3.3 là phiên bản đầu tiên bao gồm trình đánh cắp clipboard. Bản cập nhật 1.3.4 đã chuyển hạ tầng sang "77.91.123[.]187".
Người dùng đã cài đặt một trong hai tiện ích mở rộng này được khuyên nên gỡ bỏ chúng ngay lập tức và coi mọi thông tin bí mật đã sao chép trong khi tiện ích đang hoạt động là đã bị xâm phạm.
"Mã tĩnh đủ để cho thấy rằng các tiện ích mở rộng này được thiết kế để hoạt động như các công cụ proxy, chứ không chỉ đơn thuần là hiển thị giao diện VPN giả," Socket cho biết. "Khả năng proxy vẫn làm tăng rủi ro vì nó có thể định tuyến lưu lượng truy cập trình duyệt qua hạ tầng của kẻ tấn công, để lộ lưu lượng HTTP văn bản thuần và siêu dữ liệu kết nối."