Se descubrió que una campaña de malware reciente aprovecha Descargador de Satacom como conducto para implementar malware sigiloso capaz de desviar criptomonedas utilizando una extensión no autorizada para navegadores basados en Chromium.
«El objetivo principal del malware que lanza el descargador de Satacom es robar BTC de la cuenta de la víctima mediante la realización de inyecciones web en sitios web específicos de criptomonedas», los investigadores de Kaspersky Haim Zigel y Oleg Kupreev. dicho.
Los objetivos de la campaña incluyen usuarios de Coinbase, Bybit, KuCoin, Huobi y Binance ubicados principalmente en Brasil, Argelia, Turquía, Vietnam, Indonesia, India, Egipto y México.
Descargador de Satacom, también llamado Cargador de legiónsurgió por primera vez en 2019 como cuentagotas para las cargas útiles de la próxima etapa, incluidos los ladrones de información y los mineros de criptomonedas.
Las cadenas de infección que involucran el malware comienzan cuando los usuarios que buscan software descifrado son redirigidos a sitios web falsos que alojan archivos ZIP que contienen el malware.
«Se utilizan varios tipos de sitios web para propagar el malware», explicaron los investigadores. «Algunos de ellos son sitios web maliciosos con un enlace de descarga codificado, mientras que otros tienen el botón ‘Descargar’ inyectado a través de un complemento publicitario legítimo».
Presente dentro del archivo de almacenamiento hay un ejecutable llamado «Setup.exe» que tiene un tamaño de aproximadamente 5 MB pero se infla a aproximadamente 450 MB con bytes nulos en un intento de evadir el análisis y la detección.
Lanzar el binario inicia la rutina del malware, que culmina con la ejecución del programa de descarga de Satacom que, a su vez, utiliza solicitudes de DNS como un método de comando y control (C2) para obtener la URL que aloja el malware real.
La campaña documentada por Kaspersky conduce a un script de PowerShell, que descarga el complemento del navegador desde un servidor remoto de terceros. También busca archivos de acceso directo del navegador (.LNK) en el host comprometido y modifica el parámetro «Objetivo» con el indicador «–load-extension» para iniciar el navegador con la extensión descargada.
Además, el complemento se hace pasar por una extensión de Google Drive y emplea inyecciones web enviadas por el servidor C2 cuando la víctima visita uno de los sitios web de criptomonedas objetivo para manipular el contenido y robar criptomonedas.
La dirección C2 está oculta dentro de los campos script y addr de la transacción de bitcoin más reciente asociada con un dirección de billetera controlada por el actorempleando la misma técnica que el malware de botnet Glupteba para sortear bloqueos o desmantelamiento de dominios.
«La extensión realiza varias acciones en la cuenta para controlarla de forma remota utilizando los scripts de inyección web y, finalmente, la extensión intenta retirar la moneda BTC a la billetera de los actores de amenazas», dijeron los investigadores.
En un intento adicional de ocultar su actividad, la extensión maliciosa contiene secuencias de comandos para ocultar la confirmación por correo electrónico de la transacción fraudulenta en Gmail, Hotmail y Yahoo! servicios mediante una inyección de código HTML.
🔐 Dominio de la seguridad de API: comprensión de su verdadera superficie de ataque
Descubra las vulnerabilidades sin explotar en su ecosistema de API y tome medidas proactivas hacia una seguridad inquebrantable. ¡Únase a nuestro seminario web perspicaz!
Una consecuencia de esta inyección es que la víctima desconoce que se realizó una transferencia ilícita a la billetera de los actores de la amenaza. Otro aspecto notable del complemento es su capacidad para extraer metadatos del sistema, cookies, historial del navegador, capturas de pantalla de pestañas abiertas e incluso recibir comandos del servidor C2.
«La extensión puede actualizar su funcionalidad debido a la técnica utilizada para recuperar el servidor C2 a través de la última transacción de una billetera BTC específica, que puede modificarse en cualquier momento al realizar otra transacción en esta billetera», dijeron los investigadores.
«Esto permite a los actores de amenazas cambiar la URL del dominio a una diferente en caso de que los proveedores de antivirus lo prohíban o lo bloqueen».
El desarrollo viene como varios extensiones trampa Se han descubierto utilidades que se hacen pasar por legítimas en Chrome Web Store con capacidades para difundir adware y secuestrar resultados de búsqueda para mostrar enlaces patrocinados, resultados de búsqueda pagados y enlaces potencialmente maliciosos.
Las extensiones, aunque ofrecían las funciones prometidas, contenían un código ofuscado que permitía que un sitio web de terceros inyectara código JavaScript arbitrario en todos los sitios web que un usuario visitaba sin su conocimiento.