Por estrategiaynegocios.net
Una extensión maliciosa para los navegadores Chrome, Brave y Opera está siendo utilizada para robar criptomonedas de víctimas como parte de una reciente campaña de Satacom, descubierta por Kaspersky.
Los productos de la empresa bloquearon el malware en los dispositivos de cerca de 30,000 usuarios durante los últimos dos meses, con Brasil y México siendo los países más afectados.
Los atacantes han implementado una variedad de acciones maliciosas para garantizar que la extensión no se detecte mientras el usuario desprevenido navega por los sitios web de intercambio de criptomonedas objetivo, entre ellos Coinbase y Binance.
La extensión además permite a los agentes de amenazas ocultar cualquier notificación de transacciones enviada a la víctima por estos sitios web para mantener el robo encubierto por más tiempo. Esta campaña reciente está vinculada al downloader Satacom, una notoria familia de malware, activa desde 2019, que se distribuye principalmente a través de publicidad maliciosa ubicada en sitios web de terceros.
Los enlaces o anuncios maliciosos redirigen a los usuarios a servicios falsos para compartir archivos y otras páginas maliciosas donde se ofrece descargar un archivo que contiene el Satacom Downloader. En el caso de esta reciente campaña, lo que se descarga es la extensión maliciosa del navegador.
El objetivo principal de la campaña son los bitcoins de las víctimas, los cuales son robados mediante una técnica de inyección de código en páginas web legítimas para el intercambio de criptomonedas, con el fin de obtener todos los datos necesarios para llevar a cabo el hurto financiero, incluidos los tokens de autenticación.
Los expertos también afirman que el malware se puede cambiar fácilmente para apuntar a otros tipos de criptomonedas. Según la telemetría de Kaspersky, la mayor cantidad de usuarios de Internet afectados por la campaña reciente se encuentran en Brasil, México, Argelia, Turquía, India, Vietnam e Indonesia.
La manipulación del navegador ocurre mientras el usuario navega por sitios web de intercambio de criptomonedas específicos. La campaña está dirigida a los usuarios de Coinbase, Bybit, Kucoin, Huobi y Binance.
Además de robar criptomonedas, la extensión lleva a cabo acciones adicionales para ocultar su actividad principal. Por ejemplo, oculta las confirmaciones de transacciones que se hacen por correo electrónico y modifica los hilos de correo electrónico existentes de los sitios web de criptomonedas para crear hilos falsos que se parecen a los reales.
Cabe señalar que, en esta campaña, los agentes de amenazas no necesitan encontrar formas de colarse en las tiendas de extensiones oficiales, ya que utilizan el downloader Satacom para la entrega. La infección inicial comienza con un archivo ZIP, que se descarga de un sitio web que parece imitar los portales de software que permiten al usuario bajar el programa deseado (a menudo descifrado) de forma gratuita. Generalmente, Satacom descarga varios binarios en la máquina de la víctima.
En este caso, los investigadores de Kaspersky observaron un script de PowerShell que realiza la instalación de una extensión de navegador maliciosa. A partir de la infección, el fraude se realiza en conjunto con una serie de acciones maliciosas permiten que la extensión se ejecute de forma sigilosa.
