Un malware particolarmente pericoloso per il furto di criptovalute è stato rinnovato per renderlo ancora più pericoloso, secondo i ricercatori.
Gli esperti di sicurezza informatica di Avast hanno avvertito che il malware ViperSoftX Windows, un RAT basato su JavaScript che esiste da più di due anni, è stato aggiornato per installare anche un plug-in del browser Chrome (si apre in una nuova scheda).
ViperSoftX in genere monitora il contenuto degli appunti dell'endpoint infetto e, se rileva che la vittima copia e incolla l'indirizzo di un portafoglio di criptovaluta, sostituirà quello negli appunti con uno appartenente agli aggressori. In questo modo, quando la vittima invia i propri fondi, questi finiscono nelle mani degli aggressori.
Componente aggiuntivo per Fogli Google falsi
Gli indirizzi di criptovaluta sono un lungo elenco di caratteri apparentemente casuali, rendendo questo tipo di hacking relativamente efficiente. Il plugin sostanzialmente fa la stessa cosa, ma un po' più efficiente. Si chiama Fogli Google 2.1, per chiarire ogni sospetto sulle sue buone intenzioni nei confronti delle vittime.
"VenomSoftX lo fa principalmente (ruba criptovalute) collegando le richieste API ad alcuni scambi di criptovalute molto popolari che le vittime visitano o hanno un account", hanno affermato i ricercatori. "Quando viene chiamata una determinata API, ad esempio, per inviare denaro, VenomSoftX falsifica la richiesta prima che venga inviata per reindirizzare il denaro all'aggressore."
Avast afferma che il trojan prende di mira diversi importanti player di crittografia, tra cui Coinbase, Binance, Kucoin, Gate.io e Blockchain.com. Non finisce qui, però: tiene d'occhio anche gli appunti per vedere se ci sono altri portafogli collegati.
Ci sono due dettagli spaventosi su VenomSoftX, uno che l'estensione può alterare l'HTML sui siti Web, per visualizzare l'indirizzo del portafoglio di criptovaluta della vittima. In altre parole, anche un'ispezione visiva dell'indirizzo dopo averlo incollato non aiuterà. Inoltre, il malware intercetterà tutte le richieste API ai servizi e imposterà l'importo della transazione al massimo. In questo modo, anche se la vittima effettua prima una transazione di prova (una piccola transazione di, diciamo, € 10), perderà comunque tutti i suoi fondi.
E infine, per Blockchain, proverà a rubare la password, se la vittima la inserisce nel sito.
Finora, secondo i ricercatori, gli aggressori sono riusciti a rubare varie criptovalute per un valore di circa $ 130. Non sappiamo quante persone siano state contagiate, ma sappiamo che la maggior parte delle vittime si trova negli Stati Uniti, in Italia, in Brasile e in India.
Fogli Google 2.1 non esiste, quindi se vedi questo plug-in installato, assicurati di rimuoverlo immediatamente.
Via: BleepingComputer (si apre in una nuova scheda)