Ekstensi browser Google Chrome yang mencuri informasi bernama ‘VenomSoftX’ sedang digunakan oleh malware Windows untuk mencuri cryptocurrency dan konten clipboard saat pengguna menjelajahi web.
Ekstensi Chrome ini dipasang oleh malware ViperSoftX Windows, yang bertindak sebagai RAT berbasis JavaScript (trojan akses jarak jauh) dan pembajak cryptocurrency.
ViperSoftX sudah ada sejak 2020, sebelumnya diungkapkan oleh peneliti keamanan Cerberus dan Colin Cowiedan dalam laporan oleh Fortinet.
Namun, dalam laporan baru hari ini oleh Avastpeneliti memberikan rincian lebih lanjut mengenai ekstensi browser berbahaya dan bagaimana operasi malware telah mengalami perkembangan ekstensif akhir-akhir ini.
Aktivitas Terbaru
Sejak awal tahun 2022, Avast telah mendeteksi dan menghentikan 93.000 upaya infeksi ViperSoftX terhadap pelanggannya, terutama yang berdampak pada Amerika Serikat, Italia, Brasil, dan India.
.png)
Sumber: Avast
Saluran distribusi utama untuk ViperSoftX adalah file torrent yang berisi crack game bertali dan aktivator produk perangkat lunak.
Dengan menganalisis alamat dompet yang di-hardcode dalam sampel ViperSoftX dan VenomSoftX, Avast menemukan bahwa keduanya secara kolektif telah menghasilkan sekitar $130.000 bagi operator mereka pada 8 November 2022.
Cryptocurrency yang dicuri ini diperoleh dengan mengalihkan transaksi cryptocurrency yang dicoba pada perangkat yang dikompromikan dan tidak termasuk keuntungan dari aktivitas paralel.
Eksekusi yang diunduh adalah pemuat malware yang mendekripsi data AES untuk membuat lima file berikut:
- File log menyembunyikan muatan ViperSoftX PowerShell
- File XML untuk penjadwal tugas
- File VBS untuk membangun kegigihan dengan membuat tugas terjadwal
- Biner aplikasi (permainan atau perangkat lunak yang dijanjikan)
- File manifes
Baris kode berbahaya tunggal bersembunyi di suatu tempat di bagian bawah file teks log 5MB dan berjalan untuk mendekripsi muatan, pencuri ViperSoftX.
Varian ViperSoftX yang lebih baru tidak berbeda jauh dari sebelumnya dianalisis pada tahun-tahun sebelumnyatermasuk pencurian data dompet cryptocurrency, eksekusi perintah sewenang-wenang, unduhan payload dari C2, dll.
Fitur utama dari varian ViperSoftX yang lebih baru adalah pemasangan ekstensi browser berbahaya bernama VenomSoftX di browser berbasis Chrome (Chrome, Brave, Edge, Opera).
Menginfeksi Chrome
Untuk tetap tersembunyi dari para korban, ekstensi yang terpasang menyamar sebagai “Google Sheets 2.1”, yang dianggap sebagai aplikasi produktivitas Google. Pada bulan Mei, peneliti keamanan Colin Cowie juga melihat ekstensi tersebut dipasang sebagai ‘Update Manager.’
Sumber: Avast
Meskipun VenomSoftX tampaknya tumpang tindih dengan aktivitas ViperSoftX karena keduanya menargetkan aset cryptocurrency korban, VenomSoftX melakukan pencurian secara berbeda, memberi operator peluang sukses yang lebih tinggi.
“VenomSoftX terutama melakukan ini (mencuri crypto) dengan mengaitkan permintaan API pada beberapa pertukaran crypto yang sangat populer yang dikunjungi/dimiliki oleh korban,” jelas Avast dalam laporan tersebut.
“Ketika API tertentu dipanggil, misalnya, untuk mengirim uang, VenomSoftX merusak permintaan sebelum dikirim untuk mengalihkan uang ke penyerang.”
Layanan yang ditargetkan oleh VenomSoftX adalah Blockchain.com, Binance, Coinbase, Gate.io, dan Kucoin, sedangkan ekstensi juga memonitor clipboard untuk penambahan alamat dompet.
Sumber: Avast
Selain itu, ekstensi dapat memodifikasi HTML di situs web untuk menampilkan alamat dompet mata uang kripto pengguna sambil memanipulasi elemen di latar belakang untuk mengalihkan pembayaran ke pelaku ancaman.
Untuk menentukan aset korban, ekstensi VenomSoftX juga mencegat semua permintaan API ke layanan cryptocurrency yang disebutkan di atas. Kemudian mengatur jumlah transaksi ke maksimum yang tersedia, menyedot semua dana yang tersedia.
Lebih buruk lagi, untuk Blockchain.info, ekstensi juga akan mencoba mencuri kata sandi yang dimasukkan di situs.
“Modul ini berfokus pada www.blockchain.com dan mencoba untuk menghubungkan https://blockchain.info/wallet. Itu juga mengubah pengambil bidang kata sandi untuk mencuri kata sandi yang dimasukkan,” jelas Avast.
“Setelah permintaan ke titik akhir API dikirim, alamat dompet diekstraksi dari permintaan, dibundel dengan kata sandi, dan dikirim ke kolektor sebagai JSON yang disandikan base64 melalui MQTT.”
Terakhir, jika pengguna menempelkan konten ke situs web mana pun, ekstensi akan memeriksa apakah cocok dengan salah satu ekspresi reguler yang ditunjukkan di atas, dan jika demikian, kirimkan konten yang ditempelkan ke pelaku ancaman.
Karena Google Sheets biasanya dipasang di Google Chrome sebagai aplikasi di bawah chrome://apps/dan bukan ekstensi, Anda dapat memeriksa halaman ekstensi browser Anda untuk menentukan apakah Google Sheets dipasang.
Jika diinstal sebagai ekstensi, Anda harus menghapusnya dan menghapus data browser Anda untuk memastikan ekstensi berbahaya dihapus.
