McAfee scopre estensione browser che sostituisce gli indirizzi wallet per rubare criptovalute

🛡️ Executive Summary

  • Una campagna malware distribuisce un’estensione Chromium che intercetta gli indirizzi dei wallet e li sostituisce prima dell’invio delle transazioni, sfruttando la tecnica EtherHiding per il comando e controllo.
  • L’installazione modifica direttamente i file protetti dei browser Chromium, ricalcolando gli hash di integrità per rendere l’estensione apparentemente legittima ed eludere i controlli di sicurezza.
  • McAfee raccomanda di installare estensioni esclusivamente dagli store ufficiali, verificare sempre gli indirizzi wallet prima dell’invio e utilizzare protezioni endpoint aggiornate.

Le campagne di furto di criptovalute stanno evolvendo rapidamente e prendono sempre più di mira il browser, trasformandolo nel principale punto di compromissione delle transazioni digitali. I ricercatori di McAfee Labs hanno individuato una nuova operazione malware che distribuisce un’estensione per browser Chromium capace di modificare silenziosamente gli indirizzi dei wallet durante le operazioni di copia e incolla. A differenza dei tradizionali crypto clipper, questa minaccia utilizza sofisticate tecniche di evasione che consentono di installare il componente malevolo senza ricorrere agli store ufficiali e di recuperare dinamicamente il server di comando attraverso la blockchain. L’impiego della tecnica EtherHiding, unito alla modifica dei meccanismi di integrità dei browser Chromium, rende la campagna particolarmente complessa da individuare e da contrastare. Una singola transazione alterata è sufficiente per provocare la perdita definitiva dei fondi, poiché i trasferimenti su blockchain sono normalmente irreversibili.

Installatori non firmati distribuiscono l’estensione malevola

image 33
McAfee scopre estensione browser che sostituisce gli indirizzi wallet per rubare criptovalute 6

La campagna analizzata da McAfee si basa su installatori distribuiti al di fuori dei canali ufficiali, disponibili sia in versione .NET sia in implementazioni sviluppate in Golang. Dopo l’esecuzione, questi programmi installano in background un’estensione denominata Google Notes, presentata come una semplice utility per prendere appunti ma progettata in realtà per compromettere le transazioni in criptovalute. L’installazione avviene senza utilizzare il Chrome Web Store o altri repository ufficiali e modifica direttamente i file di configurazione dei browser Google Chrome, Microsoft Edge e Brave.

image 35
McAfee scopre estensione browser che sostituisce gli indirizzi wallet per rubare criptovalute 7

Per evitare che Chromium rilevi alterazioni non autorizzate, il malware ricalcola gli hash e gli HMAC utilizzati per verificare l’integrità delle preferenze di sicurezza, facendo apparire l’estensione come perfettamente legittima. Sui browser più recenti è comunque necessario che l’utente abiliti manualmente la modalità sviluppatore, passaggio che gli aggressori possono ottenere attraverso tecniche di ingegneria sociale, mentre le versioni meno aggiornate risultano vulnerabili senza ulteriori interventi.

Google Notes nasconde un crypto clipper avanzato

Annuncio

Dal punto di vista grafico l’estensione appare innocua. L’interfaccia mostra effettivamente un semplice editor di note, contribuendo a ridurre i sospetti della vittima. L’attività malevola viene invece eseguita in background attraverso il service worker e i content script, invisibili all’utente. L’estensione richiede autorizzazioni estremamente ampie rispetto alla funzione dichiarata: accesso a tutti i siti visitati, possibilità di leggere e modificare la clipboard, consultazione della cronologia di navigazione e iniezione di codice nelle pagine web.

image 34
McAfee scopre estensione browser che sostituisce gli indirizzi wallet per rubare criptovalute 8

Questi privilegi consentono al malware di osservare continuamente il comportamento dell’utente e di intervenire esattamente nel momento in cui viene copiato un indirizzo di wallet destinato a un exchange o a un software di gestione delle criptovalute.

La sostituzione degli indirizzi avviene in tempo reale

image 36
McAfee scopre estensione browser che sostituisce gli indirizzi wallet per rubare criptovalute 9

Il cuore dell’attacco è costituito dal motore di crypto clipping. Attraverso un insieme di espressioni regolari, l’estensione riconosce automaticamente gli indirizzi appartenenti a numerose blockchain. Quando individua un wallet copiato nella clipboard, invia il valore al server di comando e controllo per ottenere l’indirizzo sostitutivo controllato dagli attaccanti. Se il server non risponde, il malware utilizza indirizzi di fallback già presenti nel codice, garantendo comunque la prosecuzione dell’attacco. L’intero processo richiede pochi istanti: l’utente copia il proprio wallet, il malware lo sostituisce silenziosamente e l’indirizzo modificato viene incollato nell’interfaccia dell’exchange o del portafoglio digitale. Se la vittima non verifica attentamente il destinatario prima della conferma, le criptovalute vengono trasferite verso il wallet dell’attaccante senza possibilità di recupero.

EtherHiding rende dinamico il comando e controllo

Uno degli elementi tecnicamente più sofisticati individuati da McAfee è l’utilizzo della tecnica EtherHiding. Diversamente da molte campagne malware, l’estensione non contiene nel codice un dominio di comando e controllo fisso. Durante l’esecuzione interroga invece un endpoint RPC pubblico della blockchain, richiama un metodo di uno smart contract e decodifica il valore restituito per ottenere il dominio C2 attualmente valido. Nel corso dell’analisi il dominio recuperato è risultato essere Zebregts.com, ma gli operatori possono modificarlo semplicemente aggiornando lo smart contract, senza distribuire una nuova versione del malware. Questa architettura rende molto più difficile interrompere definitivamente l’infrastruttura criminale, poiché la rotazione del server di comando richiede soltanto una transazione sulla blockchain. Il codice include inoltre una chiave API utilizzata per autenticare le comunicazioni con il backend e una blacklist di domini appartenenti agli explorer blockchain, probabilmente per evitare di attirare l’attenzione durante attività di analisi forense.

Diffusione globale con forte presenza in India

image 32
McAfee scopre estensione browser che sostituisce gli indirizzi wallet per rubare criptovalute 10

La telemetria raccolta da McAfee mostra una distribuzione mondiale delle infezioni, con una concentrazione particolarmente elevata in India. L’analisi non evidenzia un vero targeting geografico, suggerendo invece una strategia opportunistica rivolta agli utenti consumer che gestiscono abitualmente criptovalute. Chi utilizza frequentemente il copia e incolla per trasferire indirizzi tra wallet ed exchange rappresenta il bersaglio ideale di questo tipo di malware. La campagna appare inoltre collegata a precedenti operazioni documentate da McAfee Labs che distribuivano crypto clipper direttamente in memoria. In questo caso gli sviluppatori hanno scelto di spostare il payload principale all’interno di un’estensione browser, aumentando la persistenza e sfruttando il livello di fiducia normalmente associato alle estensioni Chromium.

Come difendersi da questa minaccia

Secondo McAfee, la misura di sicurezza più efficace rimane la verifica manuale dei primi e degli ultimi caratteri dell’indirizzo del wallet prima di confermare qualsiasi transazione. Idealmente il controllo dovrebbe essere eseguito utilizzando un secondo dispositivo indipendente, così da ridurre il rischio di compromissione della stessa postazione. È inoltre fondamentale installare estensioni esclusivamente dagli store ufficiali, controllare periodicamente quelle presenti nel browser ed eliminare immediatamente componenti non riconosciuti. Un’applicazione destinata alla gestione di note non dovrebbe mai richiedere autorizzazioni complete alla clipboard, alla cronologia o a tutti i siti web visitati. Gli utenti dovrebbero inoltre evitare l’esecuzione di software non firmato scaricato da fonti non attendibili, poiché proprio questi installatori costituiscono il principale vettore di distribuzione osservato nella campagna. Sul fronte aziendale, le soluzioni Endpoint Detection and Response (EDR) e gli antivirus aggiornati sono in grado di intercettare il malware durante il download, bloccare le connessioni verso l’infrastruttura di comando e controllo e identificare questa minaccia con la denominazione CryptoStealer.NE, limitando la possibilità che l’estensione completi la sostituzione fraudolenta degli indirizzi wallet.

Iscriviti alla Newsletter

Non perdere le analisi settimanali: Entra nella Matrice Digitale.

Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.

Torna in alto