1. Для просмотра полной версии форума нужно Войти или зарегистрироваться
    Скрыть объявление
  2. В период военного положения в Украине рекомендуем сохранять трезвость, это жизненно важно как вам так и вашим близким, возможно вам придётся их защищать и для этого лучше оставаться трезвыми! Нужно пережить это не лёгкое время, помогайте друг другу чем можете, мы с вами! Гуманитарная помощь жителям Украины
    Скрыть объявление

Расширение для Chrome ворует пароли и криптовалюту

Тема в разделе "В курсе событий", создана пользователем daddydwarf, 24/11/22 в 13:55.

  1. TS
    daddydwarf

    daddydwarf Местный житель Помощник

    Регистрация:
    12/6/19
    Сообщения:
    7.456
    Карма:
    434
    Репутация:
    769
    Оценки:
    +3.629/3/-4
    [​IMG]
    Windows-малварь, предназначенная для кражи криптовалюты и содержимого буфера обмена, устанавливает на машины пользователей вредоносное расширение VenomSoftX. Расширение работает как RAT (троян удаленного доступа), ворует данные жертв и криптовалюту.
    О существовании малвари ViperSoftX ИБ-экспертам известно с 2020 года, к примеру, ранее о ней уже рассказывали и . Теперь же вредоноса более детально изучили специалисты , которые сообщают, что за прошедшее время малварь заметно изменилась.
    Отчет компании гласит, что с начала 2022 года Avast обнаружила и пресекла 93 000 попыток атак ViperSoftX на своих клиентов, в основном затронувших пользователей из США, Италии, Бразилии и Индии. При этом известно, что основным каналом распространения вредоноса являются торрент-файлы игровых кряков и активаторов для различного ПО.
    Изучив адреса кошельков, которые жестко закодированы в образцах ViperSoftX и VenomSoftX, эксперты обнаружили, что по состоянию на 8 ноября 2022 года злоумышленники «заработали» около 130 000 долларов. Причем украденная криптовалюта была получена исключительно с помощью перенаправления криптовалютных транзакций на взломанных устройствах, то есть в эту сумму не входит прибыль от прочей деятельности хакеров.
    [​IMG]
    Сами новые варианты ViperSoftX не сильно отличаются от изученных ранее, то есть могут воровать данные криптовалютных кошельков, выполнять произвольные команды, загружать полезные нагрузки с управляющего сервера и так далее. Главным отличием новых версий ViperSoftX является установка дополнительного вредоносного расширения VenomSoftX в браузеры жертв (Chrome, Brave, Edge, Opera).
    Чтобы спрятаться от жертвы, расширение маскируется под Google Sheets 2.1, якобы созданное компанией Google, или под некий Update Manager.
    [​IMG]
    Хотя VenomSoftX во многом дублирует функциональность ViperSoftX (оба вредоноса нацелены на криптовалютные активы жертв), сами кражи расширение осуществляет по-другому, что повышает шансы злоумышленников на успех.
    «VenomSoftX в основном ворует криптовалюту, перехватывая API-запросы для нескольких очень популярных криптовалютных бирж, которые посещают жертвы или на которых у них есть учетная запись», — объясняют эксперты.​
    В частности, целями VenomSoftX выступают Blockchain.com, Binance, Coinbase, Gate.io и Kucoin, а также расширение отслеживает буфер обмена пользователя, и подменяет любые адреса криптовалютных кошельков, которые попадают туда, на адреса злоумышленников.
    [​IMG]
    Кроме того, расширение может изменять HTML-код на сайтах, для обнаружения адреса криптовалютного кошелька пользователя, вместе с этим манипулируя элементами в фоновом режиме и перенаправляя платежи злоумышленниками.
    Для определения активов жертвы расширение VenomSoftX перехватывает все API-запросы к упомянутым выше криптовалютным сервисам, а затем устанавливает максимально доступную сумму транзакции, воруя все доступные средства.
    Более того, в случае с Blockchain.info расширение вообще попытается похитить пароль, введенный на сайте.
    «Модуль фокусируется www.blockchain.com и пытается перехватить . Также оно изменяет геттер поля ввода пароля с целью кражи введенных паролей, — объясняет Avast. — После отправки запроса API-эндпоинту, адрес кошелька извлекается из запроса, связывается с паролем и отправляется сборщику в виде JSON с кодировкой base64 через MQTT».​
    Исследователи говорят, что обнаружить такие фальшивые Google Sheets просто: обычно настоящие «Google Таблицы» устанавливаются в Chrome как приложение (chrome://apps/), а не как расширение, что довольно просто проверить на указанной странице. Если же в браузере присутствует именно расширение, следует удалить его как можно скорее, очистить данные, и, вероятно, сменить пароли.
     
    • Мне нравится Мне нравится x 1
  2. freddyperry567

    freddyperry567 Местный житель

    Регистрация:
    1/7/22
    Сообщения:
    6.763
    Карма:
    354
    Репутация:
    219
    Оценки:
    +3.431/5/-9
    ну а куда же тогда смотрят разработчики
    гугл хрома ведь это приложение оно
    же наверное из магазина приложений
     
    • Мне нравится Мне нравится x 1
Загрузка...