Avast découvre une extension Chrome utilisée pour voler des mots de passe et de la crypto – crypto.news

Avast découvre une extension Chrome utilisée pour voler des mots de passe et de la crypto – crypto.news

novembre 26, 2022 0 Par Stephane Normons

Avast a dévoilé comment les logiciels malveillants Windows utilisent le plug-in de navigateur Google Chrome « VenomSoftX » pour voler des crypto-monnaies et des données de presse-papiers lorsque les victimes naviguent sur Internet.

Comment le logiciel malveillant est installé

Cette extension Chrome est déployée par le logiciel malveillant ViperSoftX Windows, qui fonctionne comme un RAT basé sur JavaScript (cheval de Troie d’accès à distance) et un « parasite » des crypto-monnaies.

L’existence de ViperSoftX est connue depuis 2020, selon les rapports de Fortinet et Cerbèreainsi que les analystes de sécurité Colin Cowie.

Cependant, les chercheurs d’Avast ont publié une nouvelle analyse avec plus d’informations sur l’extension de navigateur malveillante et sur la façon dont elle a récemment subi une évolution significative.

Comment ça se cache

Pour déchiffrer la charge utile, le voleur ViperSoftX, la seule ligne de code malveillant, se cache près du bas du fichier texte du journal de 5 Mo.

Les nouvelles variations de ViperSoftX, telles que le vol de données à partir de portefeuilles de crypto-monnaie, l’exécution de commandes arbitraires, les téléchargements de charge utile à partir du C2, etc., sont similaires à ce qui a été examiné les années précédentes.

Le déploiement de l’extension de navigateur malveillante VenomSoftX sur les serveurs Web basés sur Chrome (Chrome, Brave, Edge, Opera) est une caractéristique distinctive des variantes plus récentes de ViperSoftX.

Infecter le navigateur

L’extension téléchargée se fait passer pour « Google Sheets 2.1 », un programme perçu sur le lieu de travail de Google, pour éviter d’être détecté par les victimes. L’expert en sécurité Colin Cowie a découvert l’extension déployée en tant que « Update Manager » en mai.

À lire  ConsenSys va licencier plus de 100 travailleurs

VenomSoftX accomplit le braquage différemment, donnant aux auteurs une plus grande probabilité de succès, même si leurs activités se chevauchent avec celles de ViperSoftX puisqu’ils ciblent tous les deux les avoirs en bitcoins d’une victime.

Selon l’étude d’Avast,

«VenomSoftX fait principalement cela (vole la crypto-monnaie) via des demandes d’API d’accrochage sur quelques échanges de crypto-monnaie extrêmement importants que les victimes visitent ou ont un compte avec. VenomSoftX falsifie la transaction avant qu’elle ne soit livrée pour rediriger l’argent vers l’agresseur à la place lorsqu’une API spécifique est appelée, par exemple, pour transférer des fonds.

Blockchain.com, Binance, Coinbase, Gate.io et Kucoin font partie des plateformes ciblées par VenomSoftX. Le malware garde également un œil sur le presse-papiers pour l’inclusion des adresses de portefeuille.

Tenir; ça s’empire

L’extension peut modifier le code HTML sur les sites Web pour afficher l’adresse du portefeuille de crypto-monnaie d’un utilisateur tout en redirigeant simultanément les fonds vers l’acteur de la menace.

Pour vérifier les avoirs de la victime, le plugin VenomSoftX intercepte toutes les requêtes API aux services de crypto-monnaie mentionnés. Le montant de la transaction est fixé au plus haut possible, consommant tous les fonds. Pour aggraver les choses, le plugin Google tente de voler tous les codes saisis sur Blockchain.info.

Selon Avast, le malware tente de s’accrocher tout en se concentrant sur www.blockchain.com. Pour voler les codes d’accès soumis, il modifie également le getter de l’espace du code d’accès.

L’adresse du portefeuille est extraite de l’application après que le point de terminaison de l’API l’a reçue, avec le mot de passe, et transmise au collecteur sous forme de JSON codé en base64 via MQTT.

À lire  émission d'analyse de la blockchain - crypto.news

Enfin et surtout, chaque fois qu’un utilisateur colle des informations dans un site Web, l’extension l’examinera pour voir si elle correspond à une correspondance de modèle donnée ci-dessus. Il enverra le contenu collé aux attaquants malveillants si c’est le cas.

Pour vous assurer que le plugin nuisible est supprimé s’il a été installé en tant qu’extension, vous devez le désinstaller et effacer le cache et les données de votre navigateur.