Криптоклиппер в браузерных расширениях крадет адреса кошельков
В современном цифровом мире, где скорость финансовых операций часто превалирует над бдительностью, киберпреступники нашли изощренный способ наживы за счет невнимательности пользователей криптовалют. Команда McAfee Advanced Threat Research раскрыла детали новой вредоносной кампании, которая выводит атаки типа «криптоклиппер» на принципиально иной технический уровень. В отличие от примитивных вредоносных программ, данная угроза маскируется под безобидный браузерный инструмент и использует сложные методы уклонения от обнаружения, чтобы перехватывать критически важные данные прямо в момент совершения перевода.
Масштаб и география глобальной угрозы
Данные телеметрии свидетельствуют о широком глобальном распространении заражения, однако наиболее высокая концентрация инцидентов зафиксирована на территории Индии. Это указывает на оппортунистическую модель целеполагания, при которой злоумышленники стремятся охватить максимальное количество пользователей криптовалют в регионах с их активным распространением. Вредоносное расширение сохраняет исключительно низкий профиль в системе, используя доброкачественный интерфейс, визуально неотличимый от стандартных офисных утилит, что позволяет ему эффективно скрывать свою фоновую активность.
Скрытый механизм установки: атака на конфигурацию браузеров
Наиболее заметной и технически опасной особенностью данной кампании является метод закрепления в системе. Кампания включает в себя неподписанные установщики, разработанные с использованием языков программирования .NET и Golang. После запуска установщика вредоносная программа развертывает обманчивое расширение для браузеров на базе Chromium, маскируя его под легитимную утилиту Google Notes. Однако главная угроза кроется не в самом факте установки, а в методе ее принудительного закрепления.
ВПО модифицирует защищённые файлы настроек Preferences и Secure Preferences в таких браузерах, как Chrome, Brave и Edge. Эта техника позволяет злоумышленникам обходить стандартные проверки безопасности и принудительно инсталлировать расширение без явного согласия пользователя, перенастраивая значения безопасности так, чтобы установка выглядела легитимной. Хотя актуальные версии браузеров требуют ручного включения режима разработчика для работы таких скриптов, операторы кампании активно используют тактики социальной инженерии, чтобы убедить жертву активировать этот режим. После выполнения своих задач вредонос активирует механизм самоуничтожения инсталлятора, заметая цифровые следы и усложняя криминалистический анализ.
Техника перехвата «Криптоклиппер» в действии
После успешной инъекции в браузер модуль действует как скрытый cryptocurrency clipboard hijacker. Его алгоритм предельно прост и разрушителен:
- Расширение непрерывно мониторит системный буфер обмена;
- При обнаружении строки, похожей на адрес кошелька криптовалюты, скрипт мгновенно активируется;
- Непосредственно перед завершением транзакции оригинальный адрес заменяется на альтернативный, контролируемый злоумышленниками.
Учитывая необратимый характер транзакций в блокчейне, даже единичная успешная подмена способна привести к невосполнимым финансовым потерям для жертвы.
Продвинутая C2-инфраструктура и обфускация
Инфраструктура управления вредоносной сетью демонстрирует высокий уровень технической изощренности. Расширение не использует жёстко заданный сервер управления (C2), что значительно усложняет блокировку вредоносного трафика. Вместо этого применяется динамическая система разрешения адресов:
- Расширение выполняет запрос к публичному конечному пункту RPC блокчейна (blockchain’s public RPC endpoint);
- Через смарт-контракт извлекается актуальный домен C2;
- Злоумышленник имеет возможность менять параметры смарт-контракта, мгновенно перенаправляя потоки на новую инфраструктуру и избегая ликвидации.
С точки зрения локального уклонения, расширение также создает значительную угрозу. Оно запрашивает обширные разрешения, включая полный доступ к данным браузера, что вызывает законные опасения относительно степени контроля над процессом веб-серфинга. Маскировка под «стандартный инструмент для заметок» усыпляет бдительность пользователей, которые редко проверяют легитимность таких утилит.
Рекомендации по защите и снижению рисков
Сложность данной кампании символизирует эволюцию ландшафта киберугроз, направленных на криптоэнтузиастов. В связи с этим эксперты рекомендуют придерживаться строгих правил цифровой гигиены при работе с цифровыми активами:
- Всегда проверяйте адрес назначения: Не полагайтесь на визуальное сходство первых и последних символов. Сверяйте скопированный адрес с получателем альтернативными способами связи перед подписанием транзакции.
- Используйте официальные магазины расширений: Категорически избегайте загрузки установщиков браузерных плагинов из сторонних источников, особенно если программа требует ручного включения режима разработчика.
- Отслеживайте разрешения: Регулярно проводите аудит установленных расширений. Если простой «инструмент для заметок» запрашивает доступ ко всем данным на веб-сайтах, это явный признак вредоносной активности.
- Контролируйте конфигурационные файлы браузеров: Внезапное изменение домашней страницы, поисковой системы или появление посторонних расширений может свидетельствовать о компрометации файлов Preferences.
Данный случай в очередной раз доказывает, что в погоне за анонимностью и скоростью транзакций нельзя пренебрегать базовыми основами информационной безопасности.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



