CIBERDELINCUENTES SUPLANTAN EXTENSIONES DE GOOGLE PARA DISTRIBUIR MALWARE

21/11/2022

BOLETÍN NRO 2022-688

Recientemente una extensión del navegador Google Chrome llamada 'VenomSoftX' está siendo desplegada por ciberdelincuentes para robar criptomonedas y contenidos del portapapeles cada vez que los usuarios navegan por la web.

Servicios Afectados

• Sistemas operativos Windows

Detalles Tecnicos

CVE: ---                                    Severidad:   ALTA

 

La extensión VenomSoftX está siendo instalada por el malware de ViperSoftX, que actúa como un RAT (troyano de acceso remoto) y exfiltrador de criptomonedas, el cual está desarrollado por el lenguaje de programación web JavaScript.

El principal canal de distribución de ViperSoftX son los archivos torrent que contienen programas manipulados de juegos y activadores de software. Al analizar las direcciones de los monederos de las criptomonedas que están codificados en las muestras de ViperSoftX y VenomSoftX, especialistas de seguridad descubrieron que los ciberdelincuentes ganaron una buena cantidad de dinero. Esta criptodivisa robada se obtuvo desviando transacciones de criptomonedas en los dispositivos comprometidos.

El ejecutable descargado es un malware que descifra los datos para crear los siguientes archivos:

• Archivo de registro que oculta un payload de ViperSoftX PowerShell.

• Archivo XML para el programador de tareas.

• Archivo VBS para establecer la persistencia mediante la creación de una tarea programada.

• Binario de aplicación (juego modificado o software).

• Archivo Manifest.

Las nuevas variantes de ViperSoftX no difieren mucho de lo que se ha analizado en años anteriores, incluyendo el robo de datos de la billetera digital, la ejecución de comandos arbitrarios, la descarga del payload desde el C2, etc. Una característica clave de las nuevas variantes de ViperSoftX es la instalación de una extensión de navegador maliciosa llamada VenomSoftX en los navegadores basados en Chrome (Chrome, Brave, Edge, Opera).

Para permanecer oculto a las víctimas, la extensión instalada se hace pasar por "Google Sheets 2.1", supuestamente una aplicación de productividad de Google. En mayo, también se detectó al malware suplantando la extensión "Update Manager". Cuando se llama a una determinada API, por ejemplo, para enviar dinero, VenomSoftX manipula la solicitud antes de enviarla para redirigir el dinero al atacante en su lugar.

Los servicios a los que se dirige VenomSoftX son Blockchain.com, Binance, Coinbase, Gate.io y Kucoin, mientras que la extensión también monitorea el portapapeles para añadir más direcciones de monederos. Además, la extensión puede modificar el HTML de los sitios web para mostrar la dirección de la cartera de criptodivisas del usuario mientras manipula los elementos en segundo plano para redirigir los pagos al ciberdelincuente.

Para determinar los activos de la víctima, la extensión VenomSoftX intercepta todas las solicitudes de la API a los servicios de criptodivisas mencionados anteriormente. A continuación, establece el importe de la transacción al máximo disponible, desviando todos los fondos disponibles. En el caso de Blockchain, la extensión también intentará robar las contraseñas introducidas en el sitio.

Una vez que se envía la solicitud al endpoint de la API, la dirección de la cartera se extrae de la solicitud, se agrupa con la contraseña y se envía al ciberdelincuente con un formato JSON codificado en base64 a través de MQTT.

Por último, si un usuario pega contenido en cualquier sitio web, la extensión comprobará si coincide con alguna de las expresiones regulares mostradas anteriormente y, en caso afirmativo, enviará el contenido a los ciberdelincuentes.

Además, dado que Google Sheets se instala normalmente en Google Chrome como una aplicación en Chrome y no como una extensión, puede verificar la página de extensiones de su navegador para determinar si Google Sheets está instalado.

Indicadores de Compromiso

Dominio

private-chatting[.]com

wmail-service[.]com

wmail-blog[.]com

apps-analyser[.]com

URL

hxxp[:]//api[.]private-chatting[.]com/connect

HASH

MD5: ec78b42d48246195cbe1180360681b90

SHA256: e1dc058fc8282acb95648c1ee6b0bc36b0d6b5e6853d4f602df5549e67d6d11a

MD5: 3ba82b143dcad78847a3a1e966645684

SHA256: 23b9075dac7dbf712732bb81ecd2c21259f384eb79ae8fdebe29b7c5a12d0519

MD5: 4fb6f22de4f9a3056773e6a39827b547

SHA256: 1d6845c7b92d6eb70464a35b6075365872c0ae40890133f4d7dd17ea066f8481

MD5: 59cf96c6b5c8c1fddf2071b912a7ebe4

SHA256: 0de9a23f88b9b7bda3da989dce7ad014112d88100dceaabca072d6672522be26

 

Recomendaciones

Se recomienda a nuestros clientes que cuenten con los servicios que puedan verse afectados, seguir las siguientes acciones preventivas para reducir riesgos:

Para el personal de seguridad de información:

• Considerar deshabilitar PowerShell o monitorear su ejecución, evitando que pueda ser aprovechado por softwares maliciosos.
• Considerar deshabilitar el autoguardado de credenaciales en los navegadores web, evitando que pueda ser exfiltrado por softwares maliciosos.

• Mantener un protocolo estricto para realizar copias de seguridad de los activos de información de mayor criticidad.

• Mantener un protocolo de actualizaciones estricto de sistemas operativos, antivirus y todas las aplicaciones que se ejecutan en ellos.

• Concientizar constantemente a los usuarios en temas relacionados a seguridad informática.

• Mantener el conocimiento situacional de las últimas amenazas y zonas vulnerables de la organización.

• Bloquear los indicadores de compromisos (IOC) mostrados, en los dispositivos de seguridad de su infraestructura.

** Antes de realizar el bloqueo de IoCs o aplicar actualizaciones es importante que previamente en ambiente de desarrollo se valide y confirme a nivel de servicios, con el propósito de aplicar los cambios de manera controlada.

Para usuarios finales:

• No abrir correos electrónicos de dudosa procedencia (remitente desconocido), ni dar clic en enlaces, ni descargar archivos adjuntos desconocidos.

• Escanear todo el software descargado de Internet antes de la ejecución.

• De detectar cualquier actividad anómala en su equipo reportarlo inmediatamente a los encargados de seguridad de la información de su institución.

Fuente

• Fuente 1: Google Chrome extension used to steal cryptocurrency, passwords
• Fuente 2: Equipo de Anti-Fraude y Dark Web Intelligence SecureSoft

Contáctanos

Si usted tiene alguna consulta no dude en contactarse con nosotros: 

Perú:
Consultas técnicas: monitoreo_pe@securesoftcorp.com 
Consultas comerciales: ventas@securesoftcorp.com

Ecuador:
Consultas técnicas: monitoreo_ec@securesoftcorp.com
Consultas comerciales: ventas_ec@securesoftcorp.com

Colombia:
Consultas técnicas: monitoreo_co@securesoftcorp.com
Consultas comerciales: ventas_co@securesoftcorp.com

Chile:
Consultas técnicas: monitoreo_cl@securesoftcorp.com
Consultas comerciales: ventas_cl@securesoftcorp.com

​​​​​​​