Kullanıcılar Web'e göz atarken kripto para birimi ve pano içeriğini çalmak için Windows kötü amaçlı yazılımlar tarafından 'VenomSoftx' adlı bir bilgi çalan Google Chrome tarayıcı uzantısı dağıtılıyor.
Bu krom uzantısı, JavaScript tabanlı bir sıçan (uzaktan erişim Trojan) ve kripto para birimi korsanlığı görevi gören Vipersoftx Windows kötü amaçlı yazılım tarafından yükleniyor.
Vipersoftx, daha önce güvenlik araştırmacıları Cerberus ve Colin Cowie tarafından ve Fortinet'in bir raporunda açıklanan 2020'den beri var.
Bununla birlikte, bugün Avast'ın yeni bir raporunda, araştırmacılar kötü amaçlı tarayıcı uzantısı ve kötü amaçlı yazılım işleminin son zamanlarda nasıl kapsamlı bir geliştirme geçirdiği hakkında daha fazla ayrıntı sunuyor.
2022'nin başından bu yana Avast, müşterilerine karşı 93.000 Vipersoftx enfeksiyon girişimini tespit etti ve durdurdu, esas olarak ABD, İtalya, Brezilya ve Hindistan'ı etkiledi.
Vipersoftx için ana dağıtım kanalı, bağcıklı oyun çatlakları ve yazılım ürün aktivatörleri içeren torrent dosyalarıdır.
Vipersoftx ve VenomSoftx örneklerinde sabit kodlanmış cüzdan adreslerini analiz ederek Avast, ikisinin operatörlerini 8 Kasım 2022'ye kadar toplu olarak 130.000 dolar kazandığını buldu.
Bu çalınan kripto para birimi, tehlikeye atılan cihazlarda denenen kripto para birimi işlemlerinin yönlendirilmesiyle elde edildi ve paralel faaliyetlerden elde edilen karları içermiyor.
İndirilen yürütülebilir, aşağıdaki beş dosyayı oluşturmak için AES verilerinin şifresini çözen bir kötü amaçlı yazılım yükleyicidir:
Tek kötü amaçlı kod çizgisi, 5MB günlük metin dosyasının altına doğru bir yerde gizlenir ve yük yükü Vipersoftx stealer'ın şifresini çözmek için çalışır.
Daha yeni Vipersoftx varyantları, kripto para birimi cüzdanı veri çalma, keyfi komut yürütme, C2'den yük indirmeleri vb.
Daha yeni Vipersoftx varyantlarının temel özelliği, Chrome tabanlı tarayıcılara (Chrome, Cesur, Edge, Opera) VenomSoftx adlı kötü amaçlı bir tarayıcı uzantısının kurulumudur.
Kurbanlardan gizli kalmak için, yüklü uzatma "Google Sheets 2.1" olarak maskelenir, sözde bir Google Verimlilik uygulaması. Mayıs ayında, güvenlik araştırmacısı Colin Cowie de 'Güncelleme Yöneticisi' olarak yüklenen uzantıyı da gördü.
VenomSoftx, her ikisi de bir kurbanın kripto para birimi varlıklarını hedefledikleri için Vipersoftx etkinliğini örtüyor gibi görünse de, hırsızlığı farklı gerçekleştirerek operatörlere daha yüksek başarı şansı verdi.
Avast, "VenomSoftx bunu esas olarak bunu (kripto çalar), kurbanların ziyaret ettikleri/hesabı olan birkaç popüler kripto borsasına API isteklerini kanca yaparak yapar."
Diyerek şöyle devam etti: "Örneğin, belirli bir API olarak adlandırıldığında, Para göndermek için, parayı saldırgana yönlendirmek için gönderilmeden önce talep ile tampar."
VenomSoftx tarafından hedeflenen hizmetler Blockchain.com, Binance, Coinbase, Gate.io ve Kucoin'dir, uzantı da cüzdan adreslerinin eklenmesi için panoyu izler.
Ayrıca, uzantı, bir kullanıcının kripto para birimi cüzdan adresini görüntülemek için web sitelerinde HTML'yi değiştirirken, tehdit oyuncusuna ödemeleri yönlendirmek için arka plandaki öğeleri manipüle edebilir.
Mağdurun varlıklarını belirlemek için, VenomSoftx uzantısı da yukarıda belirtilen kripto -hizmet hizmetlerine tüm API taleplerini keser. Daha sonra, mevcut tüm fonları sifonlayarak işlem tutarını mevcut maksimum seviyeye çıkarır.
Daha da kötüsü, blockchain.info için uzantı, siteye girilen şifreleri çalmaya çalışacaktır.
Avast, "Bu modül www.blockchain.com'a odaklanıyor ve https://blockchain.info/wallet kancaya bağlanmaya çalışıyor. Ayrıca, şifreleri çalmak için şifre alanının alıcısını da değiştiriyor."
"API uç noktasına olan istek gönderildikten sonra, cüzdan adresi istekten çıkarılır, şifre ile birlikte toplanır ve MQTT aracılığıyla Base64 kodlu bir JSON olarak toplayıcıya gönderilir."
Son olarak, bir kullanıcı içeriği herhangi bir web sitesine tutturursa, uzantı yukarıda gösterilen normal ifadelerle eşleşip eşleşmediğini kontrol eder ve eğer öyleyse yapıştırılan içeriği tehdit aktörlerine gönderin.
Google Sheets normalde Google Chrome'a Chrome: // Apps/ve bir uzantı altında bir uygulama olarak yüklendiğinden, Google sayfalarının yüklenip yüklenmediğini belirlemek için tarayıcınızın uzantı sayfasını kontrol edebilirsiniz.
Bir uzantı olarak yüklenmişse, kötü amaçlı uzantının kaldırıldığından emin olmak için kaldırmalı ve tarayıcı verilerinizi temizlemelisiniz.
Google, Haziran 2023'te Chrome Manifest V2 uzantılarını devre dışı bırakmayı test etmek
Aurora Infostealer kötü amaçlı yazılım, siberganglar tarafından giderek daha fazla benimsenmiştir
Yeni Strelastealer kötü amaçlı yazılım görünümünüzü çalıyor, Thunderbird hesapları
Kötü niyetli uzatma, saldırganların Google Chrome'u uzaktan kontrol etmesine izin verir
Yeni Pano Koruma Kripto Cüzdan Adreslerinin yerini Lookalikes ile değiştiriyor
Kaynak: Bleeping Computer