Campania recentă Satacom a creat o extensie de browser care fură criptomonede

O extensie rău intenționată pentru browserele Chrome, Brave și Opera este folosită pentru a fura criptomonede de la victime, ca parte a unei campanii recente Satacom, descoperită de Kaspersky. Atacatorii au implementat o serie de acțiuni rău intenționate pentru a se asigura că extensia rămâne nedetectată în timp ce utilizatorul navighează pe site-urile web de tip exchange, pentru criptomonedele vizate, inclusiv Coinbase și Binance. În plus, extensia le permite atacatorilor să ascundă orice notificări despre tranzacție, trimise victimei de către aceste site-uri web, pentru a le fura pe furiș criptomonedele.

Campania recentă este legată de Satacom Downloader, o familie de malware bine cunoscută, activă din 2019 și livrată în principal prin publicitate malware plasată pe site-uri web ale terților. Link-urile sau anunțurile rău intenționate redirecționează utilizatorii către servicii false de partajare a fișierelor și alte pagini periculoase care oferă descărcarea unei arhive care conține Satacom Downloader. În cazul acestei campanii recente, descarcă extensia de browser rău intenționată.

Obiectivul principal al campaniei este de a fura bitcoin (BTC) din conturile victimelor prin efectuarea de injecții web pe asemenea site-uri web de criptomonede. Cu toate acestea, malware-ul poate fi ușor modificat pentru a viza și alte criptomonede. Malware-ul încearcă să-și atingă obiectivul instalând o extensie pentru browserele bazate pe Chromium – precum Chrome, Brave și Opera – și vizează utilizatorii individuali care dețin criptomonede din întreaga lume. Potrivit telemetriei Kaspersky, cele mai afectate țări includ Brazilia, Algeria, Turcia, Vietnam, Indonezia, India, Egipt și Mexic.

Extensia rău intenționată efectuează manipulări ale browserului în timp ce utilizatorul navighează pe site-urile web de exchange pentru criptomonedele vizate. Campania vizează utilizatorii Coinbase, Bybit, Kucoin, Huobi și Binance. Pe lângă furtul criptomonedelor, extensia efectuează acțiuni suplimentare pentru a-și ascunde activitatea principală. De exemplu, ascunde confirmările de e-mail ale tranzacțiilor și modifică thread-uri de e-mail existente de pe site-urile web cu criptomonede, pentru a crea thread-uri false care seamănă cu cele reale.

În această campanie, atacatorii nu trebuie să găsească modalități de a se strecura în magazinele oficiale de extensii, deoarece folosesc aplicația de descărcare Satacom pentru livrare. Infecția inițială începe cu un fișier de tip ZIP, care este descărcat de pe un site web ce pare să imite portaluri de software, permițând utilizatorului să descarce gratuit software-ul dorit (deseori cracked). Satacom descarcă de obicei diverse fișiere binare pe computerul victimei. De data aceasta, cercetătorii Kaspersky au observant un script PowerShell care realizează instalarea unei extensii de browser rău intenționate.

Apoi, o serie de acțiuni periculoase permit extensiei să ruleze pe furiș, în timp ce utilizatorul navighează pe internet. Ca urmare, actorii amenințărilor devin capabili să transfere BTC din portofelul victimei în portofelul lor folosind infecții web.