Uma extensão do navegador Google Chrome para roubo de informações chamada 'VenomSoftX' está sendo implantada por malware do Windows para roubar criptomoedas e conteúdo da área de transferência enquanto os usuários navegam na web.
Esta extensão do Chrome está sendo instalada pelo malware ViperSoftX Windows, que atua como um RAT baseado em JavaScript (trojan de acesso remoto) e seqüestrador de criptomoeda.
O ViperSoftX existe desde 2020, divulgado anteriormente pelos pesquisadores de segurança Cerberus e Colin Cowie , e em um relatório da Fortinet.
No entanto, em um novo relatório da Avast , os pesquisadores fornecem mais detalhes sobre a extensão maliciosa do navegador e como a operação do malware passou por um amplo desenvolvimento recentemente.
Atividade recente
Desde o início de 2022, a Avast detectou e interrompeu 93.000 tentativas de infecção ViperSoftX contra seus clientes, afetando principalmente os Estados Unidos, Itália, Brasil e Índia.
O principal canal de distribuição do ViperSoftX são os arquivos torrent contendo cracks de jogos e ativadores de produtos de software.
Ao analisar os endereços de carteira que são codificados em amostras de ViperSoftX e VenomSoftX, a Avast descobriu que os dois ganharam coletivamente para seus operadores cerca de US$ 130.000 até 8 de novembro de 2022.
Essa criptomoeda roubada foi obtida desviando tentativas de transações de criptomoeda em dispositivos comprometidos e não inclui lucros de atividades paralelas.
O executável baixado é um carregador de malware que descriptografa dados AES para criar os cinco arquivos a seguir:
Arquivo de log ocultando uma carga ViperSoftX PowerShell
Arquivo XML para o agendador de tarefas
Arquivo VBS para estabelecer persistência criando uma tarefa agendada
Binário de aplicativo (jogo ou software prometido)
arquivo de manifesto
A única linha de código malicioso se esconde em algum lugar na parte inferior do arquivo de texto de log de 5 MB e é executada para descriptografar a carga útil, o ladrão do ViperSoftX.
As variantes mais recentes do ViperSoftX não diferem muito do que foi analisado nos anos anteriores , incluindo roubo de dados de carteira de criptomoeda, execução arbitrária de comandos, downloads de carga útil do C2, etc.
Um recurso importante das variantes mais recentes do ViperSoftX é a instalação de uma extensão de navegador maliciosa chamada VenomSoftX em navegadores baseados no Chrome (Chrome, Brave, Edge, Opera).
Infectando o Chrome
Para ficar escondido das vítimas, a extensão instalada se disfarça de "Google Sheets 2.1", supostamente um aplicativo de produtividade do Google. Em maio, o pesquisador de segurança Colin Cowie também identificou a extensão instalada como 'Update Manager'.
Embora o VenomSoftX pareça se sobrepor à atividade do ViperSoftX, já que ambos visam os ativos de criptomoeda da vítima, ele executa o roubo de maneira diferente, dando aos operadores maiores chances de sucesso.
“A VenomSoftX faz isso principalmente (rouba criptomoedas) conectando solicitações de API em algumas trocas criptográficas muito populares que as vítimas visitam/têm uma conta”, explica a Avast no relatório.
“Quando uma determinada API é chamada, por exemplo, para enviar dinheiro, o VenomSoftX adultera a solicitação antes de ser enviada para redirecionar o dinheiro para o invasor”.
Os serviços visados pelo VenomSoftX são Blockchain.com, Binance, Coinbase, Gate.io e Kucoin, enquanto a extensão também monitora a área de transferência para a adição de endereços de carteira.
Além disso, a extensão pode modificar o HTML em sites para exibir o endereço da carteira de criptomoeda do usuário enquanto manipula os elementos em segundo plano para redirecionar os pagamentos ao agente da ameaça.
Para determinar os ativos da vítima, a extensão VenomSoftX também intercepta todas as solicitações de API para os serviços de criptomoeda mencionados acima. Em seguida, ele define o valor da transação para o máximo disponível, desviando todos os fundos disponíveis.
Para piorar a situação, para Blockchain.info, a extensão também tentará roubar senhas inseridas no site.
"Este módulo foca www.blockchain.com e tenta capturar https://blockchain.info/wallet. Ele também modifica o getter do campo de senha para roubar as senhas digitadas", explica o Avast.
"Depois que a solicitação para o endpoint da API é enviada, o endereço da carteira é extraído da solicitação, empacotado com a senha e enviado ao coletor como um JSON codificado em base64 via MQTT."
Por fim, se um usuário colar conteúdo em qualquer site, a extensão verificará se corresponde a alguma das expressões regulares mostradas acima e, em caso afirmativo, enviará o conteúdo colado aos agentes de ameaça.
Como o Planilhas Google normalmente é instalado no Google Chrome como um aplicativo em chrome://apps/ e não uma extensão, você pode verificar a página de extensão do seu navegador para determinar se o Planilhas Google está instalado.
Se estiver instalado como uma extensão, você deve removê-lo e limpar os dados do navegador para garantir que a extensão maliciosa seja removida.
Postar um comentário
Caro leitor, sua opinião é essencial para nós! Compartilhe seus pensamentos nos comentários sobre esta publicação. Garantimos manter o Seja Hoje Diferente sempre atualizado e funcional. Se notar algum link quebrado ou problema com áudio e vídeo, por favor, avise-nos nos comentários. Agradecemos sua colaboração, seu apoio é a bússola que nos orienta na entrega de conteúdo relevante. Obrigado por fazer parte desta comunidade engajada!