Se ha descubierto una campaña de malware reciente para aprovecharlo. Descargador de Satacom como un canal para entregar malware sigiloso capaz de desviar criptomonedas utilizando una extensión maliciosa para navegadores basados en Chromium.
«El objetivo principal del malware lanzado por Satacom Downloader es robar BTC de la cuenta de la víctima realizando inyecciones web en sitios web de criptomonedas específicos», dijeron los investigadores de Kaspersky Haim Zigel y Oleg Kupreev.
Los objetivos de la campaña incluyen usuarios de Coinbase, Bybit, KuCoin, Huobi y Binance ubicados principalmente en Brasil, Argelia, Turquía, Vietnam, Indonesia, India, Egipto y México.
El descargador de Satacom, también conocido como Legion Loader, salió al mercado por primera vez en 2019 como un cuentagotas para cargas útiles de siguiente nivel, incluidos los ladrones de información y los mineros de criptomonedas.
Las cadenas de infección con el malware comienzan cuando los usuarios que buscan software descifrado son redirigidos a sitios web falsos que alojan archivos ZIP que contienen el malware.
«Se utilizan varios tipos de sitios web para propagar el malware», explicaron los investigadores. «Algunos de estos son sitios web maliciosos con un enlace de descarga codificado, mientras que otros tienen el botón de descarga inyectado a través de un complemento publicitario legítimo».
Dentro del archivo de almacenamiento hay un ejecutable llamado Setup.exe, que tiene un tamaño de aproximadamente 5 MB, pero se ha anulado a aproximadamente 450 MB para evadir el análisis y la detección.
Lanzar el binario inicia la rutina de malware, que culmina con la ejecución de Satacom Downloader, que a su vez utiliza consultas de DNS como un método de comando y control (C2) para recuperar la URL que aloja el malware real.
La campaña documentada por Kaspersky da como resultado un script de PowerShell que descarga el complemento del navegador desde un servidor remoto de terceros. También busca archivos de acceso directo del navegador (.LNK) en el host comprometido y modifica el parámetro «Objetivo» con el indicador «–load-extension» para iniciar el navegador con la extensión descargada.
Además, el complemento se disfraza como una extensión de Google Drive y utiliza inyecciones web enviadas por el servidor C2 cuando la víctima visita cualquiera de los sitios web de criptomonedas objetivo para manipular el contenido y robar criptomonedas.
La dirección C2 está oculta en los campos script y addr de la última transacción de bitcoin asociada con una dirección de billetera controlada por un actor y utiliza la misma técnica que el malware de botnet Glupteba para realizar bloqueos de dominio o evadir eliminaciones.
«La extensión realiza varias acciones en la cuenta para controlarla de forma remota utilizando los scripts de inyección web y, finalmente, la extensión intenta retirar la moneda BTC a las billeteras de los actores de amenazas», dijeron los investigadores.
En otro intento de ocultar sus actividades, la extensión maliciosa incluye scripts para verificar el correo electrónico de confirmación de la transacción fraudulenta en Gmail, Hotmail y Yahoo! esconder. Servicios mediante inyección de código HTML.
🔐 Master API Security: comprenda su verdadera superficie de ataque
Descubra las vulnerabilidades sin explotar en su ecosistema de API y tome medidas proactivas hacia una seguridad inquebrantable. ¡Únase a nuestro seminario web perspicaz!
Únete a la sesión
Una consecuencia de esta inyección es que la víctima desconoce que se ha producido una transferencia ilegal a la billetera del actor de la amenaza. Otro aspecto notable del complemento es su capacidad para extraer metadatos del sistema, cookies, historial de navegación, capturas de pantalla de pestañas abiertas e incluso recibir comandos del servidor C2.
«La extensión puede actualizar su funcionalidad debido a la técnica utilizada para informar al servidor C2 sobre la última transacción de una billetera BTC específica, que puede cambiarse en cualquier momento por otra transacción con esa billetera», dijeron los investigadores.
«Esto permite a los actores de amenazas cambiar la URL del dominio a una diferente en caso de que los proveedores de antivirus lo prohíban o lo bloqueen».
El desarrollo se produce después de que se descubrieran varias extensiones con trampas explosivas en Chrome Web Store que se hacían pasar por utilidades legítimas con la capacidad de distribuir adware y secuestrar resultados de búsqueda para mostrar enlaces patrocinados, resultados de búsqueda pagados y enlaces potencialmente maliciosos.
Si bien las extensiones brindaban la funcionalidad prometida, contenían un código ofuscado que permitía que un sitio web de terceros inyectara código JavaScript arbitrario en cualquier sitio web que un usuario visitara sin su conocimiento.