Ekstensi browser Google Chrome yang mencuri informasi bernama ‘VenomSoftX’ sedang digunakan oleh malware Windows untuk mencuri cryptocurrency dan konten clipboard saat pengguna menjelajahi web.
Ekstensi Chrome ini dipasang oleh malware ViperSoftX Windows, yang bertindak sebagai RAT berbasis JavaScript (trojan akses jarak jauh) dan pembajak cryptocurrency.
Aktivitas Terbaru
Saluran distribusi utama untuk ViperSoftX adalah file torrent yang berisi crack game bertali dan aktivator produk perangkat lunak.
Dengan menganalisis alamat dompet yang di-hardcode dalam sampel ViperSoftX dan VenomSoftX, Avast menemukan bahwa keduanya secara kolektif telah menghasilkan sekitar $130.000 bagi operator mereka pada 8 November 2022.
Cryptocurrency yang dicuri ini diperoleh dengan mengalihkan transaksi cryptocurrency yang dicoba pada perangkat yang dikompromikan dan tidak termasuk keuntungan dari aktivitas paralel.
Baris kode berbahaya tunggal bersembunyi di suatu tempat di bagian bawah file teks log 5MB dan berjalan untuk mendekripsi muatan, pencuri ViperSoftX.
Fitur utama dari varian ViperSoftX yang lebih baru adalah pemasangan ekstensi browser berbahaya bernama VenomSoftX di browser berbasis Chrome (Chrome, Brave, Edge, Opera).
Menginfeksi Chrome
“VenomSoftX terutama melakukan ini (mencuri crypto) dengan mengaitkan permintaan API pada beberapa pertukaran crypto yang sangat populer yang dikunjungi/dimiliki oleh korban,” jelas Avast dalam laporan tersebut.
“Ketika API tertentu dipanggil, misalnya, untuk mengirim uang, VenomSoftX merusak permintaan sebelum dikirim untuk mengalihkan uang ke penyerang.”
Layanan yang ditargetkan oleh VenomSoftX adalah Blockchain.com, Binance, Coinbase, Gate.io, dan Kucoin, sedangkan ekstensi juga memonitor clipboard untuk penambahan alamat dompet.
“This module focuses on www.blockchain.com and it tries to hook https://blockchain.info/wallet. It also modifies the getter of the password field to steal entered passwords,” explains Avast.
“Once the request to the API endpoint is sent, the wallet address is extracted from the request, bundled with the password, and sent to the collector as a base64-encoded JSON via MQTT.”
Terakhir, jika pengguna melampirkan konten ke situs web mana pun, ekstensi akan memeriksa apakah cocok dengan salah satu ekspresi reguler yang ditunjukkan di atas, dan jika demikian, kirimkan konten yang ditempelkan ke pelaku ancaman.
Dikarenakan Google Sheets biasanya dipasang di Google Chrome sebagai aplikasi di bawah chrome://apps/ dan bukan ekstensi, Anda dapat memeriksa halaman ekstensi browser Anda untuk menentukan apakah Google Sheets dipasang.
Sumber : bleeping computer
