Uma extensão do Google Chrome chamada VenomSoftX está sendo implantada por malware do Windows para roubar criptomoedas e senhas. A extensão rouba conteúdo da área de transferência enquanto os usuários navegam na web.
A extensão VenomSoftX está sendo instalada pelo malware ViperSoftX Windows, que atua como um trojan de acesso remoto e sequestrador de criptomoeda e é uma grande ameaça para os usuários do navegador.
O ViperSoftX existe desde 2020, divulgado anteriormente pelos pesquisadores de segurança Cerberus e Colin Cowie, e em um relatório da Fortinet. No entanto, em um novo relatório da Avast (Via: Bleeping Computer), os pesquisadores fornecem mais detalhes sobre a extensão maliciosa do navegador e como a operação do malware passou por um amplo desenvolvimento recentemente.
Atividade do ViperSoftX
Só em 2022, a Avast detectou e interrompeu 93.000 tentativas de infecção ViperSoftX contra seus clientes, afetando principalmente os Estados Unidos, Itália, Brasil e Índia.
O principal canal de distribuição do ViperSoftX são os arquivos torrent contendo cracks de jogos e ativadores de produtos de software. Ao analisar os endereços de carteira que são codificados em amostras de ViperSoftX e VenomSoftX.
Código malicioso
A única linha de código malicioso se esconde em algum lugar na parte inferior do arquivo de texto de log de 5 MB e é executada para descriptografar a carga útil, o ladrão do ViperSoftX.
As variantes mais recentes do malware não diferem muito do que foi analisado nos anos anteriores, incluindo roubo de dados de carteira de criptomoeda, execução arbitrária de comandos, downloads de carga útil do C2, etc, aponta o Bleeping Computer.
Um recurso importante das variantes mais recentes do ViperSoftX é a instalação de uma extensão de navegador maliciosa chamada VenomSoftX em navegadores baseados no Chrome (Chrome, Brave, Edge, Opera).
Infectando o Chrome com o VenomSoftX para roubo de criptomoedas e senhas
Para ficar escondido das vítimas, a extensão instalada se disfarça de “Google Sheets 2.1”, supostamente um aplicativo de produtividade do Google. Embora o VenomSoftX pareça se sobrepor à atividade do ViperSoftX, já que ambos visam os ativos de criptomoeda da vítima, ele executa o roubo de maneira diferente, dando aos operadores maiores chances de sucesso.
Os serviços visados ??pelo VenomSoftX são Blockchain.com, Binance, Coinbase, Gate.io e Kucoin, enquanto a extensão também monitora a área de transferência para a adição de endereços de carteira.
Além disso, a extensão pode modificar o HTML em sites para exibir o endereço da carteira de criptomoeda do usuário enquanto manipula os elementos em segundo plano para redirecionar os pagamentos ao agente da ameaça.
Para determinar os ativos da vítima, a extensão VenomSoftX também intercepta todas as solicitações de API para os serviços de criptomoeda mencionados acima. Em seguida, ele define o valor da transação para o máximo disponível, desviando todos os fundos disponíveis.
Para piorar a situação, para Blockchain.info, a extensão também tentará roubar senhas inseridas no site. Por fim, se um usuário colar conteúdo em qualquer site, a extensão verificará se corresponde a alguma das expressões regulares mostradas acima e, em caso afirmativo, enviará o conteúdo colado aos agentes de ameaça.
Se estiver instalado como uma extensão, você deve removê-lo e limpar os dados do navegador para garantir que a extensão maliciosa seja removida.