Ce logiciel malveillant installe des extensions de navigateur malveillantes pour voler les mots de passe et les cryptos des utilisateurs


Il a été observé qu’une extension malveillante pour les navigateurs Web basés sur Chromium est distribuée via un voleur d’informations Windows de longue date appelé ViperSoftX.

La société tchèque de cybersécurité a surnommé le module complémentaire de navigateur malveillant VenomSoftX en raison de ses fonctionnalités autonomes qui lui permettent d’accéder aux visites de sites Web, de voler des informations d’identification et des données de presse-papiers, et même d’échanger des adresses de crypto-monnaie via une attaque Adversary-in-the-middle (AiTM) .

ViperSoftX, qui a d’abord venu à la lumière en février 2020, a été caractérisée par Fortinet en tant que cheval de Troie d’accès à distance basé sur JavaScript et voleur de crypto-monnaie. L’utilisation par le malware d’une extension de navigateur pour atteindre ses objectifs de collecte d’informations a été documentée par l’analyste des menaces de Sophos Colin Cowie plus tôt cette année.

« Ce voleur en plusieurs étapes présente des capacités de masquage intéressantes, dissimulées sous forme de petits scripts PowerShell sur une seule ligne au milieu de gros fichiers journaux autrement innocents, entre autres », a déclaré Jan Rubín, chercheur chez Avast. a dit dans une rédaction technique.

« ViperSoftX se concentre sur le vol de crypto-monnaies, l’échange de presse-papiers, la prise d’empreintes digitales de la machine infectée, ainsi que le téléchargement et l’exécution de charges utiles supplémentaires arbitraires ou l’exécution de commandes. »

Le vecteur de distribution utilisé pour propager ViperSoftX est généralement réalisé par le biais de logiciels piratés pour Adobe Illustrator et Microsoft Office qui sont hébergés sur des sites de partage de fichiers.

Le fichier exécutable téléchargé est fourni avec une version propre du logiciel piraté ainsi que des fichiers supplémentaires qui configurent la persistance sur l’hôte et hébergent le script ViperSoftX PowerShell.

Logiciel malveillant d'extension Chrome

Les nouvelles variantes du logiciel malveillant sont également capables de charger le module complémentaire VenomSoftX, qui est récupéré à partir d’un serveur distant, sur des navigateurs basés sur Chromium tels que Google Chrome, Microsoft Edge, Opera, Brave et Vivaldi.

Ceci est réalisé en recherchant des fichiers LNK pour les applications du navigateur et en modifiant les raccourcis avec un « –load-extension » commutateur de ligne de commande qui pointe vers le chemin où l’extension décompressée est stockée.

« L’extension essaie de se déguiser en extensions de navigateur bien connues et courantes telles que Google Sheets », a expliqué Rubín. « En réalité, VenomSoftX est un autre voleur d’informations déployé sur la victime sans méfiance avec des autorisations d’accès complètes à chaque site Web que l’utilisateur visite à partir du navigateur infecté. »

Il convient de noter que la tactique –load-extension a également été utilisée par un autre voleur d’informations basé sur un navigateur appelé ChromeLoader (alias Choziosi Loader ou ChromeBack).

VenomSoftX, comme ViperSoftX, est également orchestré pour voler des crypto-monnaies à ses victimes. Mais contrairement à ce dernier, qui fonctionne comme un clipper pour rediriger les transferts de fonds vers un portefeuille contrôlé par l’attaquant, VenomSoftX falsifie les demandes d’API aux échanges cryptographiques pour drainer les actifs numériques.

Les services ciblés par l’extension incluent Blockchain.com, Binance, Coinbase, Gate.io et Kucoin.

Le développement marque un nouveau niveau d’escalade vers l’échange traditionnel de presse-papiers, tout en ne soulevant aucun soupçon immédiat car l’adresse du portefeuille est remplacée à un niveau beaucoup plus fondamental.

Avast a déclaré avoir détecté et bloqué plus de 93 000 infections depuis le début de 2022, la majorité des utilisateurs concernés étant situés en Inde, aux États-Unis, en Italie, au Brésil, au Royaume-Uni, au Canada, en France, au Pakistan et en Afrique du Sud.

Une analyse des adresses de portefeuille codées en dur dans les échantillons révèle que l’opération a rapporté à ses auteurs une somme totale d’environ 130 421 $ au 8 novembre 2022, dans diverses crypto-monnaies. Le gain monétaire collectif est depuis tombé à 104 500 $.

« Étant donné que les transactions sur les blockchains/livres sont intrinsèquement irréversibles, lorsque l’utilisateur vérifie l’historique des transactions des paiements par la suite, il est déjà trop tard », a déclaré Rubín.





ttn-fr-57