Một chiến dịch phần mềm độc hại gần đây đã được tìm thấy để tận dụng trình tải xuống Satacom như một ống dẫn để triển khai phần mềm độc hại tàng hình có khả năng bòn rút tiền điện tử bằng cách sử dụng tiện ích mở rộng giả mạo cho các trình duyệt dựa trên Chromium.
"Mục đích chính của phần mềm độc hại được thả bởi trình tải xuống Satacom là đánh cắp BTC từ tài khoản của nạn nhân bằng cách thực hiện tiêm web vào các trang web tiền điện tử được nhắm mục tiêu", các nhà nghiên cứu Haim Zigel và Oleg Kupreev của Kaspersky cho biết.
Mục tiêu của chiến dịch bao gồm người dùng Coinbase, Bybit, KuCoin, Huobi và Binance chủ yếu ở Brazil, Algeria, Thổ Nhĩ Kỳ, Việt Nam, Indonesia, Ấn Độ, Ai Cập và Mexico.
Trình tải xuống Satacom, còn được gọi là Legion Loader, lần đầu tiên xuất hiện vào năm 2019 dưới dạng ống nhỏ giọt cho các tải trọng giai đoạn tiếp theo, bao gồm cả kẻ đánh cắp thông tin và thợ đào tiền điện tử.
Chuỗi lây nhiễm liên quan đến phần mềm độc hại bắt đầu khi người dùng tìm kiếm phần mềm bị bẻ khóa được chuyển hướng đến các trang web không có thật lưu trữ các tệp lưu trữ ZIP có chứa phần mềm độc hại.
"Nhiều loại trang web khác nhau được sử dụng để phát tán phần mềm độc hại", các nhà nghiên cứu giải thích. "Một số trong số đó là các trang web độc hại với liên kết tải xuống được mã hóa cứng, trong khi một số khác có nút 'Tải xuống' được tiêm thông qua một plugin quảng cáo hợp pháp."
Hiện diện trong tệp lưu trữ là một tệp thực thi được gọi là "Cài đặt.exe" có kích thước khoảng 5 MB nhưng được thổi phồng lên khoảng 450 MB với các byte rỗng trong nỗ lực trốn tránh phân tích và phát hiện.
Khởi chạy nhị phân bắt đầu thói quen phần mềm độc hại, đỉnh điểm là việc thực thi trình tải xuống Satacom, lần lượt, sử dụng các yêu cầu DNS làm phương thức lệnh và kiểm soát (C2) để tìm nạp URL lưu trữ phần mềm độc hại thực tế.
Chiến dịch được Kaspersky ghi lại dẫn đến tập lệnh PowerShell, tải xuống tiện ích bổ sung của trình duyệt từ máy chủ của bên thứ ba từ xa. Nó cũng tìm kiếm phím tắt trình duyệt (. LNK) trong máy chủ bị xâm nhập và sửa đổi tham số "Mục tiêu" bằng cờ "--load-extension" để khởi chạy trình duyệt với tiện ích mở rộng đã tải xuống.
Hơn nữa, tiện ích bổ sung giả mạo như một tiện ích mở rộng của Google Drive và sử dụng tiêm web được gửi bởi máy chủ C2 khi nạn nhân truy cập một trong những trang web tiền điện tử được nhắm mục tiêu để thao túng nội dung và đánh cắp tiền điện tử.
Địa chỉ C2 được giấu trong các trường tập lệnh và addr của giao dịch bitcoin gần đây nhất được liên kết với địa chỉ ví do tác nhân kiểm soát, sử dụng kỹ thuật tương tự như phần mềm độc hại botnet Glupteba để vượt qua các cuộc phong tỏa hoặc gỡ xuống tên miền.
"Tiện ích mở rộng thực hiện các hành động khác nhau trên tài khoản để điều khiển từ xa bằng cách sử dụng các tập lệnh tiêm web và cuối cùng tiện ích mở rộng cố gắng rút tiền BTC vào ví của các tác nhân đe dọa", các nhà nghiên cứu cho biết.
Trong một nỗ lực bổ sung để che giấu hoạt động của nó, tiện ích mở rộng độc hại chứa các tập lệnh để che giấu xác nhận email về giao dịch gian lận trên các dịch vụ Gmail, Hotmail và Yahoo! bằng cách tiêm mã HTML.
Hậu quả của việc tiêm này là nạn nhân không biết rằng việc chuyển tiền bất hợp pháp vào ví của kẻ đe dọa đã được thực hiện. Một khía cạnh đáng chú ý khác của tiện ích bổ sung là khả năng trích xuất siêu dữ liệu hệ thống, cookie, lịch sử trình duyệt, ảnh chụp màn hình của các tab đã mở và thậm chí nhận lệnh từ máy chủ C2.
"Tiện ích mở rộng có thể cập nhật chức năng của nó do kỹ thuật được sử dụng để truy xuất máy chủ C2 thông qua giao dịch cuối cùng của một ví BTC cụ thể, có thể được sửa đổi bất cứ lúc nào bằng cách thực hiện một giao dịch khác với ví này", các nhà nghiên cứu cho biết.
"Điều này cho phép các tác nhân đe dọa thay đổi URL tên miền sang một URL khác trong trường hợp nó bị cấm hoặc chặn bởi các nhà cung cấp phần mềm chống vi-rút."
Sự phát triển này diễn ra khi một số tiện ích mở rộng bị mắc kẹt giả mạo là các tiện ích hợp pháp đã được khai quật trên Cửa hàng Chrome trực tuyến với khả năng phát tán phần mềm quảng cáo và chiếm quyền điều khiển kết quả tìm kiếm để hiển thị các liên kết được tài trợ, kết quả tìm kiếm có trả tiền và các liên kết độc hại tiềm ẩn.
Các tiện ích mở rộng, trong khi cung cấp các tính năng được hứa hẹn, chứa mã bị xáo trộn cho phép trang web của bên thứ ba đưa mã JavaScript tùy ý vào tất cả các trang web mà người dùng truy cập mà họ không biết.