Extensão está sendo usada para roubar criptomoedas e senhas

A Avast descobriu que uma extensão está sendo usada para roubar criptomoedas e senhas. Confira os detalhes dessa ameaça.

Uma extensão do navegador Google Chrome para roubo de informações chamada ‘VenomSoftX’ está sendo implantada por malware do Windows para roubar criptomoedas e conteúdo da área de transferência enquanto os usuários navegam na web.

Extensão está sendo usada para roubar criptomoedas e senhas

Extensão está sendo usada para roubar criptomoedas e senhas
Extensão está sendo usada para roubar criptomoedas e senhas

Esta extensão do Chrome está sendo instalada pelo malware ViperSoftX Windows, que atua como um RAT baseado em JavaScript (trojan de acesso remoto) e seqüestrador de criptomoeda.

O ViperSoftX existe desde 2020, divulgado anteriormente pelos pesquisadores de segurança Cerberus e Colin Cowie, e em um relatório da Fortinet.

No entanto, em um novo relatório da Avast, os pesquisadores fornecem mais detalhes sobre a extensão maliciosa do navegador e como a operação do malware passou por um amplo desenvolvimento recentemente.

Desde o início de 2022, a Avast detectou e interrompeu 93.000 tentativas de infecção ViperSoftX contra seus clientes, afetando principalmente os Estados Unidos, Itália, Brasil e Índia.

Extensão está sendo usada para roubar criptomoedas e senhas
Extensão está sendo usada para roubar criptomoedas e senhas – Mapa de calor de vítimas do ViberSoftX para 2022 Fonte: Avast

O principal canal de distribuição do ViperSoftX são os arquivos torrent contendo cracks de jogos e ativadores de produtos de software.

Ao analisar os endereços de carteira que são codificados em amostras de ViperSoftX e VenomSoftX, a Avast descobriu que os dois ganharam coletivamente para seus operadores cerca de US$ 130.000 até 8 de novembro de 2022.

Essa criptomoeda roubada foi obtida desviando tentativas de transações de criptomoeda em dispositivos comprometidos e não inclui lucros de atividades paralelas.

O executável baixado é um carregador de malware que descriptografa dados AES para criar os cinco arquivos a seguir:

  • Arquivo de log ocultando uma carga ViperSoftX PowerShell
  • Arquivo XML para o agendador de tarefas
  • Arquivo VBS para estabelecer persistência criando uma tarefa agendada
  • Binário de aplicativo (jogo ou software prometido)
  • arquivo de manifesto

A única linha de código malicioso se esconde em algum lugar na parte inferior do arquivo de texto de log de 5 MB e é executada para descriptografar a carga útil, o ladrão do ViperSoftX.

As variantes mais recentes do ViperSoftX não diferem muito do que foi analisado nos anos anteriores, incluindo roubo de dados de carteira de criptomoeda, execução arbitrária de comandos, downloads de carga útil do C2, etc.

Um recurso importante das variantes mais recentes do ViperSoftX é a instalação de uma extensão de navegador maliciosa chamada VenomSoftX em navegadores baseados no Chrome (Chrome, Brave, Edge, Opera).

Infectando o Chrome

Para ficar escondido das vítimas, a extensão instalada se disfarça de “Google Sheets 2.1”, supostamente um aplicativo de produtividade do Google. Em maio, o pesquisador de segurança Colin Cowie também identificou a extensão instalada como ‘Update Manager’.

Extensão está sendo usada para roubar criptomoedas e senhas
Extensão está sendo usada para roubar criptomoedas e senhas – Extensão maliciosa aparecendo como Planilhas Google Fonte: Avast

Embora o VenomSoftX pareça se sobrepor à atividade do ViperSoftX, já que ambos visam os ativos de criptomoeda da vítima, ele executa o roubo de maneira diferente, dando aos operadores maiores chances de sucesso.

“A VenomSoftX faz isso principalmente (rouba criptomoedas) conectando solicitações de API em algumas trocas criptográficas muito populares que as vítimas visitam/têm uma conta.”, explica a Avast no relatório.

“Quando uma determinada API é chamada, por exemplo, para enviar dinheiro, o VenomSoftX adultera a solicitação antes de ser enviada para redirecionar o dinheiro para o invasor.”

Os serviços visados ​​pelo VenomSoftX são Blockchain.com, Binance, Coinbase, Gate.io e Kucoin, enquanto a extensão também monitora a área de transferência para a adição de endereços de carteira.

Exemplos de criptomoeda sequestrada Fonte: Avast
Extensão está sendo usada para roubar criptomoedas e senhas – Exemplos de criptomoeda sequestrada Fonte: Avast

Além disso, a extensão pode modificar o HTML em sites para exibir o endereço da carteira de criptomoeda do usuário enquanto manipula os elementos em segundo plano para redirecionar os pagamentos ao agente da ameaça.

Para determinar os ativos da vítima, a extensão VenomSoftX também intercepta todas as solicitações de API para os serviços de criptomoeda mencionados acima. Em seguida, ele define o valor da transação para o máximo disponível, desviando todos os fundos disponíveis.

Para piorar a situação, para Blockchain.info, a extensão também tentará roubar senhas inseridas no site.

“Este módulo se concentra em www.blockchain.com e tenta conectar https://blockchain.info/wallet. Ele também modifica o getter do campo de senha para roubar as senhas inseridas”, explica o Avast.

“Depois que a solicitação para o endpoint da API é enviada, o endereço da carteira é extraído da solicitação, empacotado com a senha e enviado ao coletor como um JSON codificado em base64 via MQTT.”

Por fim, se um usuário colar conteúdo em qualquer site, a extensão verificará se corresponde a alguma das expressões regulares mostradas acima e, em caso afirmativo, enviará o conteúdo colado aos agentes de ameaça.

Como o Planilhas Google normalmente é instalado no Google Chrome como um aplicativo em chrome://apps/ e não uma extensão, você pode verificar a página de extensão do seu navegador para determinar se o Planilhas Google está instalado.

Se estiver instalado como uma extensão, você deve removê-lo e limpar os dados do navegador para garantir que a extensão maliciosa foi removido.

Sobre o Edivaldo Brito

Edivaldo Brito é analista de sistemas, gestor de TI, blogueiro e também um grande fã de sistemas operacionais, banco de dados, software livre, redes, programação, dispositivos móveis e tudo mais que envolve tecnologia.