Kyberturvallisuustutkimus: Silent Swap
Kyberturvallisuustutkijat McAfee Advanced Threat Researchilta ovat paljastaneet äärimmäisen kehittyneen kryptovaluuttoja varastavan haittaohjelmakampanjan, jota kutsutaan nimellä ”Silent Swap”. Tämä kampanja hyödyntää haitallista selainlaajennusta käyttäjän leikepöydän sieppaamiseen ja muokkaamiseen, ja se vaihtaa lailliset kryptovaluuttalompakko-osoitteet valeosoitteisiin.
Kohteena kryptovaluutat
Huonot toimijat metsästävät Bitcoinia (BTC), Ethereumia (ETH), XRP:ta, Bitcoin Cashia, Dashia sekä muita kryptovaluuttoja. Silent Swap eroaa primitiivisistä ”crypto clipper” -ohjelmista hälyttävän korkean kehittyneisyytensä vuoksi.
Kampanjan toiminta
Kampanja perustuu edistyneeseen selaimen manipulointiin, hajautettuun komentaja-ohjaus (C2) -infrastruktuuriin ja muihin huipputekniikoihin. Tartunta alkaa tyypillisesti siitä, että uhri lataa allekirjoittamattomia .NET- tai Golang-asennustiedostoja, jotka naamioituu usein ilmaisiksi tai rikotuiksi versioiksi laillisesta ohjelmistosta.
Asennustiedosto asentaa sitten haitallisen laajennuksen, joka naamioituu harmittomaksi ”Google Notes” -sovellukseksi. Manipuloimalla selaimen konfiguraatiotiedostoja, Silent Swap pakottaa itsensä latautumaan Chromium-pohjaisiin selaimiin, kuten Google Chrome, Microsoft Edge, Brave ja Opera.
Tietoturvahaasteet
Normaalisti Chromium-selaimet tallentavat tietoturvavarmistusdataa, mutta Silent Swap ohittaa tämän suojan laskemalla ja päivittämällä nämä turvallisuusarvot koodinsa injektoimisen jälkeen.
”Google Notes” -laajennus, joka asennetaan tietämättömille uhreille, myöntää itselleen tunkeilevia oikeuksia. Heti kun laajennus havaitsee kopioidun osoitteen, joka vastaa BTC:n, ETH:n, XRP:n, Bitcoin Cashin tai Dashin regex-malleja, se ei käytä kovakoodattua korvausta. Sen sijaan se kysyy hyökkääjän taustapalvelimelta.
Silent Swapin taustalla olevat haitalliset toimijat eivät myöskään kovakoodaa komentaja-ohjaus (C2) -verkkotunnuksia haittaohjelmaan, vaan hyödyntävät tekniikkaa, jota kutsutaan nimellä ”EtherHiding”. Silent Swapilla on maailmanlaajuisesti jakautunut tartuntajalanjälki, ja erityisen suuri uhri-keskittymä on Intiassa.