Zdaniem naukowców szczególnie paskudne złośliwe oprogramowanie kradnące kryptowaluty zostało przeprojektowane, aby uczynić je jeszcze bardziej niebezpiecznym.

Eksperci ds. cyberbezpieczeństwa Avast ostrzegli, że złośliwe oprogramowanie ViperSoftX dla systemu Windows, oparte na JavaScript RAT, które istnieje od ponad dwóch lat, zostało zaktualizowane i instaluje również wtyczkę do przeglądarki Chrome (otwiera się w nowej karcie).

ViperSoftX zwykle monitoruje zawartość schowka zainfekowanego punktu końcowego, a jeśli wykryje, że ofiara kopiuje i wkleja adres portfela kryptowalut, zastąpi adres w schowku adresem należącym do atakujących. W ten sposób, gdy ofiara wysyła swoje środki, trafiają one w ręce atakujących.

Fałszywy dodatek do Arkuszy Google

Adresy kryptowalut to długa lista pozornie przypadkowych znaków, dzięki czemu ten rodzaj hakowania jest względnie skuteczny. Wtyczka zasadniczo robi to samo, ale nieco wydajniej. Nazywa się Arkusze Google 2.1, aby wyjaśnić wszelkie podejrzenia co do dobrych intencji wobec ofiar.

„VenomSoftX robi to głównie (kradnie kryptowaluty) poprzez podłączanie żądań API do niektórych bardzo popularnych giełd kryptograficznych, które odwiedzają ofiary lub mają konto” – stwierdzili naukowcy. „Kiedy określony interfejs API jest wywoływany, na przykład w celu wysłania pieniędzy, VenomSoftX fałszuje żądanie przed jego wysłaniem w celu przekierowania pieniędzy do atakującego”.

Avast twierdzi, że trojan atakuje kilku głównych graczy kryptograficznych, w tym Coinbase, Binance, Kucoin, Gate.io i Blockchain.com. Jednak na tym się nie kończy: obserwuje również schowek, aby sprawdzić, czy są do niego dołączone inne portfele.

Istnieją dwa przerażające szczegóły dotyczące VenomSoftX, z których jeden polega na tym, że rozszerzenie może zmienić kod HTML na stronach internetowych, aby wyświetlić adres portfela kryptowaluty ofiary. Innymi słowy, nawet oględziny adresu po jego wklejeniu nie pomogą. Co więcej, złośliwe oprogramowanie będzie przechwytywać wszystkie żądania API wysyłane do usług i ustawiać maksymalną kwotę transakcji. W ten sposób, nawet jeśli ofiara najpierw wykona transakcję testową (niewielką transakcję, powiedzmy 10 euro), nadal straci wszystkie swoje środki.

I wreszcie, w przypadku Blockchain będzie próbował ukraść hasło, jeśli ofiara wprowadzi je na stronie.

Do tej pory, według naukowców, atakującym udało się ukraść różne kryptowaluty o wartości około 130 000 USD. Nie wiemy, ile osób zostało zarażonych, ale wiemy, że większość ofiar to Stany Zjednoczone, Włochy, Brazylia i Indie.

Arkusze Google 2.1 nie istnieją, więc jeśli zobaczysz zainstalowaną tę wtyczkę, usuń ją natychmiast.

Przez: BleepingComputer (Otwiera się w nowej karcie)

Udostępnij to