Gli aggressori hanno messo in atto una serie di operazioni malevole per evitare che l’estensione possa essere rilevata, mentre gli utenti navigano sui siti di exchange di criptovalute colpiti, tra cui Coinbase e Binance.
Autore: Redazione BitCity
Pubblicato il: 12/06/2023
Kaspersky ha scoperto una nuova campagna Satacom, che utilizza un’estensione malevola nei browser Chrome, Brave e Opera per rubare criptovalute alle vittime. Quasi 30.000 utenti nel corso degli ultimi due mesi hanno rischiato di essere attaccati.
La campagna è legata al Downloader Satacom, una nota famiglia di malware attiva dal 2019 e distribuita principalmente via malvertising su siti di terze parti. I link o gli annunci malevoli reindirizzano gli utenti a falsi servizi di file-sharing e altre pagine che permettono di scaricare un archivio contenente il Downloader Satacom. In questo caso specifico, viene scaricata l’estensione dannosa.
L’obiettivo della campagna è rubare bitcoin (BTC) dai conti delle vittime effettuando web injection su siti specifici di criptovalute. Tuttavia, il malware può essere facilmente modificato per attaccare altre criptovalute. Infatti, installa un’estensione per i browser basati su Chromium – come Chrome, Brave e Opera – e prende di mira i singoli utenti che possiedono criptovalute in tutto il mondo. Secondo la telemetria di Kaspersky, tra aprile e maggio, quasi 30.000 utenti hanno rischiato di essere vittime della campagna. I Paesi più colpiti negli ultimi due mesi sono stati: Brasile, Messico, Algeria, Turchia, India, Vietnam e Indonesia.
L’estensione malevola modifica i browser mentre l’utente naviga sui siti di cryptocurrency exchange. La campagna colpisce gli utenti di Coinbase, Bybit, Kucoin, Huobi e Binance. Oltre a rubare le criptovalute, l’estensione esegue azioni aggiuntive per occultare l’attività principale, ad esempio nasconde le email di conferma delle transazioni e modifica i thread delle email esistenti così da creare thread falsi simili a quelli veri.
In questa campagna, gli attori delle minacce non hanno bisogno di trovare modi per accedere agli store ufficiali delle estensioni, poiché utilizzano il Downloader Satacom. L’infezione inizia con un file ZIP, scaricato da un sito che simula i portali software, così da permettere all’utente di effettuare il download gratuito del software desiderato (spesso craccato). Satacom di solito scarica vari file binari sul computer della vittima. In questo caso, i ricercatori di Kaspersky hanno scoperto che è stato lo script PowerShell a eseguire l’installazione dell’estensione malevola nel browser.
Successivamente, una serie di azioni dannose permette all’estensione di funzionare indisturbata, mentre l’utente naviga su internet. Di conseguenza, gli attori delle minacce sono capaci di trasferire i BTC dal portafoglio delle vittime al proprio, grazie l’utilizzo di web injection.
"I cybercriminali hanno migliorato l’estensione aggiungendo la capacità di controllarla attraverso modifiche agli script. Ciò significa che possono facilmente iniziare a prendere di mira altre criptovalute. Inoltre, dato che l’estensione è basata sul browser, può colpire le piattaforme Windows, Linux e macOS. Per precauzione, si consiglia agli utenti di controllare regolarmente i propri account in modo da notare attività sospette e di utilizzare soluzioni di sicurezza affidabili per proteggersi da minacce come queste”, ha dichiarato Haim Zigel, Malware Analyst di Kaspersky.