Utvrđeno je da je nedavna kampanja malicioznog softvera koristila Satacom-ov downloader kao kanal za implementaciju prikrivenog malicioznog softvera sposobnog da izvuče kriptovalute koristeći lažno proširenje za pretraživače zasnovane na Chromium-u.
“Glavna svrha malicioznog softvera koji je izbacio Satacom downloader je da ukrade BTC sa naloga žrtve izvođenjem web injekcija u ciljane web stranice kriptovaluta” rekli su Kaspersky istraživači Haim Zigel i Oleg Kupreev.
Ciljevi kampanje uključuju korisnike Coinbase, Bybit, KuCoin, Huobi i Binance koji se prvenstveno nalaze u Brazilu, Alžiru, Turskoj, Vijetnamu, Indoneziji, Indiji, Egiptu i Meksiku.
Satacom-ov program za preuzimanje, koji se naziva i Legion Loader, prvi put se pojavio 2019. godine kao uređaj za ispuštanje payload-a sljedeće faze, uključujući kradljivce informacija i rudare kriptovaluta.
Lanci zaraze koji uključuju maliciozni softver počinju kada se korisnici koji traže krekovani softver preusmjeravaju na lažne web stranice koje hostuju ZIP arhivske datoteke koje sadrže maliciozni softver.
“Različite vrste web stranica se koriste za širenje malicioznog softvera” objasnili su istraživači. “Neke od njih su maliciozne web stranice sa hard kodiranom vezom za preuzimanje, dok druge imaju dugme ‘Preuzmi’ ubačeno putem legitimnog dodatka za oglase.”
U arhivskoj datoteci je izvršni fajl pod nazivom “Setup.exe” veličine oko 5 MB, ali naduvan na otprilike 450 MB sa nul bajtovima u pokušaju da se izbegne analiza i otkrivanje.
Pokretanje binarne datoteke pokreće rutinu malicioznog softvera, što kulminira izvršavanjem Satacom programa za preuzimanje koji, zauzvrat, koristi DNS zahtjeve kao naredbu i kontrolu (C2) za dohvaćanje URL-a na kojem se nalazi stvarni maliciozni softver.
Kampanja koju je dokumentovao Kaspersky vodi do PowerShell skripte, koja preuzima dodatak pretraživača sa udaljenog servera treće strane. Takođe traži datoteke prečica pretraživača (.LNK) u kompromitovanom host-u i modifikuje parametar “Target” sa zastavicom “–load-extension” da bi pokrenuo pretraživač sa preuzetom ekstenzijom.
Štaviše, dodatak se maskira kao ekstenzija Google Drive-a i koristi web injekcije koje šalje C2 server kada žrtva posjeti jednu od ciljanih web stranica kriptovaluta kako bi manipulisala sadržajem i ukrala kriptovalute.
C2 adresa je skrivena unutar polja skripte i adrese najnovije bitcoin transakcije povezane s adresom novčanika koju kontroliše haker, koristeći istu tehniku kao maliciozni softver Glupteba botnet kako bi se zaobišle blokade ili uklanjanja domena.
“Proširenje obavlja različite radnje na računu kako bi ga daljinski kontrolisalo pomoću skripti za web ubrizgavanje, a na kraju ekstenzija pokušava povući BTC valutu u novčanik hakera” rekli su istraživači.
U dodatnom pokušaju da prikrije svoju aktivnost, maliciozna ekstenzija sadrži skripte za prikrivanje email potvrde lažne transakcije na Gmail, Hotmail i Yahoo! usluge pomoću injekcije HTML koda.
Posljedica ove injekcije je da žrtva nije svjesna da je izvršen nezakonit transfer u novčanik hakera. Još jedan značajan aspekt dodatka je njegova sposobnost izdvajanja sistemskih metapodataka, kolačića, istorije pretraživača, snimaka ekrana otvorenih kartica, pa čak i primanja komandi sa C2 servera.
“Proširenje može ažurirati svoju funkcionalnost zbog tehnike koja se koristi za preuzimanje C2 servera putem posljednje transakcije određenog BTC novčanika, koji se može modifikovati u bilo kojem trenutku tako što se izvrši još jedna transakcija na ovom novčaniku” rekli su istraživači.
“Ovo omogućava hakerima da promijene URL domene u drugi u slučaju da su je zabranili ili blokirali dobavljači antivirusnih programa.”
Razvoj dolazi nakon što je nekoliko ekstenzija zarobljenih u zamci koje se predstavljaju kao legitimni uslužni programi otkriveni u Chrome web prodavnici sa mogućnostima širenja adware-a i otmice rezultata pretraživanja za prikaz sponzorisanih veza, plaćenih rezultata pretraživanja i potencijalno malicioznih veza.
Ekstenzije, iako su nudile obećane karakteristike, sadržavale su zamagljeni kod koji je omogućavao web stranici treće strane da ubaci proizvoljni JavaScript kod u sve web stranice koje je korisnik posjetio bez njihovog znanja.
Izvor: The Hacker News
