Ameaça manipula a área de transferência para fraudar transações financeiras e utiliza a blockchain como redirecionador de servidores de comando e controle.
| Componente | Extensões maliciosas para navegadores baseados em Chromium (disfarcadas de Google Notes e VPN Go) e instaladores não assinados em.NET e Golang. |
| Vetor | Instaladores que encerram os navegadores para modificar os arquivos de preferências locais, contornando hashes de segurança e habilitando o modo de desenvolvedor via engenharia social. |
| Impacto | Substituição determinística de endereços de criptomoedas copiados, roubo de dados sensíveis na área de transferência e desvio permanente de fundos digitais. |
| Prioridade | Auditoria de extensões instaladas, inspeção de arquivos de preferências do navegador, bloqueio de instaladores não assinados e rotação de segredos potencialmente expostos. |
A campanha identificada como Silent Swap representa uma evolução nas táticas de malwares do tipo clipper voltados ao roubo de criptomoedas. Em vez de depender de procedimentos de instalação convencionais, a ameaça utiliza instaladores não assinados para implantar uma extensão maliciosa no navegador, mascarada como um utilitário legítimo denominado Google Notes. Uma vez em execução, a extensão solicita permissões intrusivas para acessar a área de transferência do sistema, o histórico de navegação e todas as URLs visitadas.
O objetivo central do ataque é interceptar de forma silenciosa os endereços de carteiras digitais que o usuário copia para colar durante uma transação. Quando a vítima cola o endereço de destino no campo do formulário de transferência, o sistema insere automaticamente um endereço controlado pelos atacantes. Devido à natureza irreversível das transações em blockchain, a substituição resulta em perdas financeiras permanentes, sem possibilidade de reversão ou estorno bancário tradicional.
Paralelamente, pesquisas relacionadas revelaram a circulação de extensões falsas de VPN, como a VPN Go, distribuídas nas lojas oficiais Google Chrome Web Store e Firefox Add-ons. Essas extensões adotam um padrão de atualização maliciosa em estágios. Inicialmente, a ferramenta funciona de forma benigna, oferecendo serviços de proxy para passar pelas avaliações de segurança das lojas. Após ganhar a confiança do usuário e ser instalada, os operadores publicam uma atualização que introduz rotinas de roubo de dados sensíveis da área de transferência, visando credenciais de acesso, códigos de autenticação multifator, chaves de API, tokens OAuth e frases semente de carteiras digitais.
O ciclo de infecção da campanha Silent Swap tem início com um instalador não assinado em.NET, designado como BaseZipInstaller. Este componente malicioso é programado para baixar um arquivo ZIP que contém a estrutura da extensão fraudulenta. Durante a execução, o instalador analisa o sistema em busca de navegadores baseados em Chromium, examinando os perfis de usuário existentes. Para garantir a injeção bem-sucedida do código malicioso, o binário encerra forçosamente o processo do navegador ativo.
Com o navegador encerrado, o malware altera diretamente os arquivos Preferences e Secure Preferences localizados no diretório de perfil do usuário. Em condições normais, estes navegadores utilizam valores de hash e códigos de autenticação de mensagem (HMAC) embutidos nesses arquivos de configuração para detectar adulterações externas não autorizadas. O instalador recalcula esses valores criptográficos imediatamente após realizar as modificações, o que engana o mecanismo de segurança do navegador. Como resultado, a extensão considera a instalação legítima, efetuando o bypass do processo convencional da loja de extensões e sendo carregada silenciosamente sem gerar alertas ou exigir a aprovação do usuário.
A persistência da ameaça é assegurada pelas modificações permanentes no arquivo de preferências, garantindo o carregamento automático em inicializações subsequentes do programa. Adicionalmente, para dificultar a resposta a incidentes e a análise estática, o instalador exclui a si mesmo do disco logo após concluir a injeção. A campanha também exige o modo de desenvolvedor em versões recentes de alguns navegadores, condição que os atacantes manipulam utilizando táticas de engenharia social.
Um marco técnico notável nesta operação é o uso de uma técnica documentada como EtherHiding. Os operadores empregam a blockchain como umresolvedor de infraestrutura oculta. Os detalhes de conexão do servidor de comando e controle (C2) são extraídos de contratos inteligentes na blockchain. Esse método concede uma resiliência massiva contra ações de takedown, pois os atacantes podem atualizar o endereço do C2 no registro público da blockchain com uma única transação, sem a necessidade de redistribuir ou atualizar o payload do malware nos hosts já comprometidos.
A substituição das carteiras ocorre de forma dinâmica. A extensão monitora stringas copiadas e, ao identificar um padrão compatível com criptomoedas, envia o dado original para o backend dos atacantes. O servidor responde com um endereço de substituição mapeado de forma determinística. Para moedas como Bitcoin, Ethereum, Bitcoin Cash, Ripple e Dash, cada carteira original recebe uma carteira de substituição única. Endereços da rede Solana são roteados para um único endereço de consolidador, que apresentava umsaldo de mil e novecentos dólares no momento da análise. Se o backend estiver indisponível por algum motivo de rede, a função local utiliza um endereço fixo pré-programado para não interromper a operação de roubo. As extensões do tipo VPN Go direcionam o tráfego sigiloso de exfiltração para IPs específicos de servidores controlados pelos atacantes, como 178.236.252[.]133 e 77.91.123[.]187.
A campanha技术 afeta diretamente estáções de trabalho onde usuários possuem privilégios para executar binários baixados da internet e acessar perfis em navegadores baseados em Chromium. O alvo principal engloba investidores e usuários de plataformas de criptomoedas que realizam transferências manuais via copiar e colar em seus computadores pessoais ou em estáções de trabalho corporativas sem o devido bloqueio de aplicativos não autorizados.
- Perfis de usuários em navegadores como Google Chrome, Microsoft Edge, Brave, Opera e Vivaldi em sistemas Windows.
- Usuários que executam transações com Bitcoin, Ethereum, Bitcoin Cash, Ripple, Dash e Solana copiando endereços de destinação a partir de fontes externas.
- Máquinas nas quais o modo de desenvolvedor do navegador está habilitado ou pode ser ativado localmente sem controle administrativo.
- Indivíduos que instalaram extensões de VPN de fontes desconhecidas ou lojas oficiais com falsos positivos em estágios de avaliação iniciais, comprometendo toda e qualquer informação roteada via área de transferência.
Para identificar sistemas comprometidos pelas técnicas do Silent Swap e variantes de rogue extensions, equipes de cibersegurança e administradores de sistemas devem priorizar a inspeção de modificações não intencionais nos arquivos de configuração locais. O monitoramento contínuo de mudanças em arquivos críticos do sistema operacional e tráfego de rede anômalo originado de processos do navegador é fundamental para a descoberta de intrusões silenciosas.
- Monitorar alterações e recálculos de hash criptográfico nos arquivos
PreferenceseSecure Preferencesdentro de diretórios comoAppData\Local\Google\Chrome\User Data\Default. - Inspecionar a criação e deleção rápida de binários executáveis não assinados na pasta de download ou diretórios temporários do usuário.
- Gerar alertas de detecção para processos externos não autorizados que tentem encerrar abruptamente a execução de navegadores de internet.
- Analisar logs de rede em busca de requisições de saída destinadas a endereços IP de exfiltração conhecidos
178.236.252[.]133e77.91.123[.]187. - Rastrear requisições de rede incomuns originadas de aplicativos本土訪問 a portas HTTP tenta verificar comunicação com infraestruturas associadas a contratos inteligentes suspeitos.
- Auditorias periódicas no sistema para verificar o status do modo de desenvolvedor em navegadores gerenciados por informações corporativas.
A contenção deste risco tecnológico exige uma postura proativa focada na redução da superfície de ataque em estáções de trabalho, bem como ações imediatas de resposta para conter o vazamento de ativos digitais. Como a infecção exige frequentemente a execução de instaladores não autorizados, as empresas devem empregar políticas rígidas de controle de aplicativos. A gestão corporativa das configurações dos navegadores web adiciona uma camada essencial para prevenir a execução de complementos não confiáveis.
- Bloquear a execução de instaladores não assinados e arquivos não confiáveis, prevenindo a ativação de binários como o
BaseZipInstaller. - Aplicar políticas de grupo corporativas (GPOs) para forçar a desativação e o bloqueio do modo de desenvolvedor, além de restringir a instalação de extensões apenas a lojas e listas de permissão pré-aprovadas pela equipe de TI.
- Inspecionar manualmente as configurações do navegador em busca de extensões não reconhecidas solicitando privilégios extremos para acessar todas as URLs e interagir com a área de transferência do sistema.
- Remover prontamente as extensões suspeitas ou listadas como VPN Go ou falsos.Note/.arks do tipo Google Notes das máquinas afetadas.
- Instruir os usuários a sempre_validarem manualmente os_caracteres de um endereço de carteira blockchain colado antes de definitivamente_ confirmar a transação na rede.
- Rotedores e_ rotacionar todos os_tokens, senhas, chaves de API e segredos de autenticação de qualquer indivíduo que tenha midst installed falsas extensões de VPN known compromises.
0 Comentários