Uma extensão do navegador Google Chrome para roubo de informações chamada 'VenomSoftX' está sendo implantada por malware do Windows para roubar criptomoedas e conteúdo da área de transferência enquanto os usuários navegam na web.

Esta extensão do Chrome está sendo instalada pelo malware ViperSoftX Windows, que atua como um RAT baseado em JavaScript (trojan de acesso remoto) e seqüestrador de criptomoeda.

O ViperSoftX existe desde 2020, divulgado anteriormente pelos pesquisadores de segurança Cerberus e   Colin Cowie , e em um relatório da Fortinet.

No entanto, em um novo relatório da  Avast , os pesquisadores fornecem mais detalhes sobre a extensão maliciosa do navegador e como a operação do malware passou por um amplo desenvolvimento recentemente.

Atividade recente

Desde o início de 2022, a Avast detectou e interrompeu 93.000 tentativas de infecção ViperSoftX contra seus clientes, afetando principalmente os Estados Unidos, Itália, Brasil e Índia.

O principal canal de distribuição do ViperSoftX são os arquivos torrent contendo cracks de jogos e ativadores de produtos de software.

Ao analisar os endereços de carteira que são codificados em amostras de ViperSoftX e VenomSoftX, a Avast descobriu que os dois ganharam coletivamente para seus operadores cerca de US$ 130.000 até 8 de novembro de 2022.

Essa criptomoeda roubada foi obtida desviando tentativas de transações de criptomoeda em dispositivos comprometidos e não inclui lucros de atividades paralelas.

O executável baixado é um carregador de malware que descriptografa dados AES para criar os cinco arquivos a seguir:

Arquivo de log ocultando uma carga ViperSoftX PowerShell

Arquivo XML para o agendador de tarefas

Arquivo VBS para estabelecer persistência criando uma tarefa agendada

Binário de aplicativo (jogo ou software prometido)

arquivo de manifesto

A única linha de código malicioso se esconde em algum lugar na parte inferior do arquivo de texto de log de 5 MB e é executada para descriptografar a carga útil, o ladrão do ViperSoftX.

As variantes mais recentes do ViperSoftX não diferem muito do que foi analisado nos anos anteriores , incluindo roubo de dados de carteira de criptomoeda, execução arbitrária de comandos, downloads de carga útil do C2, etc.

Um recurso importante das variantes mais recentes do ViperSoftX é a instalação de uma extensão de navegador maliciosa chamada VenomSoftX em navegadores baseados no Chrome (Chrome, Brave, Edge, Opera).

Infectando o Chrome

Para ficar escondido das vítimas, a extensão instalada se disfarça de "Google Sheets 2.1", supostamente um aplicativo de produtividade do Google. Em maio, o pesquisador de segurança Colin Cowie também identificou a extensão instalada como 'Update Manager'.

Embora o VenomSoftX pareça se sobrepor à atividade do ViperSoftX, já que ambos visam os ativos de criptomoeda da vítima, ele executa o roubo de maneira diferente, dando aos operadores maiores chances de sucesso.

“A VenomSoftX faz isso principalmente (rouba criptomoedas) conectando solicitações de API em algumas trocas criptográficas muito populares que as vítimas visitam/têm uma conta”, explica a Avast no relatório.

“Quando uma determinada API é chamada, por exemplo, para enviar dinheiro, o VenomSoftX adultera a solicitação antes de ser enviada para redirecionar o dinheiro para o invasor”.

Os serviços visados ​​pelo VenomSoftX são Blockchain.com, Binance, Coinbase, Gate.io e Kucoin, enquanto a extensão também monitora a área de transferência para a adição de endereços de carteira.

Além disso, a extensão pode modificar o HTML em sites para exibir o endereço da carteira de criptomoeda do usuário enquanto manipula os elementos em segundo plano para redirecionar os pagamentos ao agente da ameaça.

Para determinar os ativos da vítima, a extensão VenomSoftX também intercepta todas as solicitações de API para os serviços de criptomoeda mencionados acima. Em seguida, ele define o valor da transação para o máximo disponível, desviando todos os fundos disponíveis.

Para piorar a situação, para Blockchain.info, a extensão também tentará roubar senhas inseridas no site.

"Este módulo foca  www.blockchain.com e tenta capturar  https://blockchain.info/wallet. Ele também modifica o getter do campo de senha para roubar as senhas digitadas", explica o Avast.

"Depois que a solicitação para o endpoint da API é enviada, o endereço da carteira é extraído da solicitação, empacotado com a senha e enviado ao coletor como um JSON codificado em base64 via MQTT."

Por fim, se um usuário colar conteúdo em qualquer site, a extensão verificará se corresponde a alguma das expressões regulares mostradas acima e, em caso afirmativo, enviará o conteúdo colado aos agentes de ameaça.

Como o Planilhas Google normalmente é instalado no Google Chrome como um aplicativo em chrome://apps/ e não uma extensão, você pode verificar a página de extensão do seu navegador para determinar se o Planilhas Google está instalado.

Se estiver instalado como uma extensão, você deve removê-lo e limpar os dados do navegador para garantir que a extensão maliciosa seja removida.

Informações Bleeping Computer

Postagem Anterior Próxima Postagem

Compartilhe nas redes sociais e apoie ou retribua

Todos os nossos artigos são exclusivos é proibida a reprodução total ou parcial dos mesmos sem a indicação da fonte SHD: Sejahojediferente.com