Introduktion til Silent Swap
Cybersecurity-forskere fra McAfee Advanced Threat Research har afdækket en ekstremt sofistikeret malwarekampagne til tyveri af kryptovaluta, kaldet “Silent Swap.” Kampagnen benytter en ondsindet browserudvidelse til at opsnappe og ændre brugerens udklipsholder, hvorefter legitime kryptovaluta-wallet adresser byttes ud med falske.
Målrettede Kryptovalutaer
De kriminelle målretter mod Bitcoin (BTC), Ethereum (ETH), XRP, Bitcoin Cash, Dash samt andre kryptovalutaer. Silent Swap adskiller sig fra mere primitive “crypto clippers” ved sit alarmerende niveau af sofistikering.
Angrebsmetoder
Kampagnen er baseret på avanceret browsermanipulation, decentraliseret kommando-og-kontrol (C2) infrastruktur og andre banebrydende teknikker. Infektionen begynder typisk med, at offeret downloader usignerede .NET- eller Golang-installationsprogrammer, der ofte er forklædt som gratis eller cracked versioner af legitim software.
Installationsprogrammet implementerer derefter en ondsindet udvidelse, der udgiver sig for at være en godartet “Google Notes”-applikation. Ved at manipulere browserens konfigurationsfiler tvinger Silent Swap sig selv ind i Chromium-baserede browsere, herunder Google Chrome, Microsoft Edge, Brave og Opera.
Omgåelse af Sikkerhedsforanstaltninger
Normalt gemmer Chromium-browsere sikkerhedsverifikationsdata, men Silent Swap omgår dette forsvar ved at genberegne og opdatere disse sikkerhedsværdier efter at have injiceret sin kode. “Google Notes”-udvidelsen, som installeres af uvidende ofre, giver sig selv invasive tilladelser.
Operationelle Teknikker
Så snart udvidelsen opdager en kopieret adresse, der matcher regex-mønstrene for BTC, ETH, XRP, Bitcoin Cash eller Dash, bruger den ikke en hardcoded erstatning. I stedet forespørger den angriberens backend-server. De ondsindede aktører bag Silent Swap hardcoder heller ikke deres kommando-og-kontrol (C2) domæner i malware. I stedet anvender de en teknik kendt som “EtherHiding.”
Global Indvirkning
Silent Swap har et globalt distribueret infektionstryk, med en særlig høj koncentration af ofre i Indien.