Chrome Uzantıları Kripto ve Cüzdanlarını Tehdit Ediyor
Google Chrome’da VenomSoftX adındaki eklenti, kullanıcıların kripto cüzdanlarını çalmak için kullanılıyor. ViperSoftX, daha önce güvenlik araştırmacıları Cerberus ve Colin Cowie tarafından ve Fortinet’in bir raporunda açıklanmıştı. Ancak Avast tarafından bugün yayınlanan yeni bir raporda Dünya genelinde zararlının yayıldığı görülmekte.
Dünya genelinde yayılıyor!
2022’nin başından bu yana özellikle ABD, İtalya, Brezilya ve Hindistan’ı etkileyen 93.000 fazla vaka görülmeye başlandı.
Avast, ViperSoftX ve VenomSoftX’de sabit kodlanmış cüzdan adreslerini analiz ederek, ikisinin 8 Kasım 2022 itibari ile saldırganlara yaklaşık 130.000 ABD doları kazandırdığını tespit etti.
İndirilen dosya, aşağıdaki beş dosyayı oluşturmak için AES verilerinin şifresini çözen bir yazılım yükleyici olarak çalışıyor.
- Bir ViperSoftX Powershell payload’u gizleyen log dosyası
- Görev zamanlayıcı için XLM dosyası
- Zamanlanmış bir görev oluşturarak kalıcılık oluşturmak için VBS dosyası
- Uygulam
- Manifest dosyası
Chrome’u Etkiliyor
Yüklenen uzantı, kurbanlardan gizlenmek için sözde bir Google üretkenlik uygulaması olan “Google E-Tablolar” kılığına giriyor. Mayıs ayında, güvenlik araştırmacısı Colin Cowie de uzantının “Güncelleme Yöneticisi” olarak yüklendiğini fark etti.
Avast raporda “VenomSoftX, kullanıcıların hesabı olduğu birkaç popüler kripto borsasına API isteklerini bağlayarak kripto çalıyor” diyor. “Örneğin, para göndermek için belirli bir API çağrıldığında, VenomSoftX parayı saldırgana yönlendirmek için gönderilmeden önce isteği değiştiriyor.
Google E-Tablolar normalde Google Chrome’a bir uzantı olarak değil, chrome://apps/ altında bir uygulama olarak yüklendiğinden, Google e-Tablolar’ın yüklü olup olmadığını belirlemek için tarayıcının uzantı sayfasını kontrol edebilirsiniz. Eğer uzantı olarak yüklü ise onu kaldırıp tarayıcı verilerini silebilirsiniz.
Kaynak: bleepingcomputer.com