Фальшиве розширення Google Notes краде криптовалюту, непомітно підміняючи адреси гаманців

01.07.2026 1 хвилин Автор: Newsman

Фахівці з кібербезпеки виявили активну кампанію Silent Swap, яка націлена на власників криптовалюти. Замість злому біржі чи гаманця зловмисники встановлюють у браузер шкідливе розширення, яке непомітно змінює адресу криптогаманця під час переказу коштів.

За даними дослідників McAfee Labs, кампанія поширюється через непідписані інсталятори, створені на .NET та Golang. Вони встановлюють шкідливе розширення для браузерів Chromium, яке маскується під безпечний інструмент Google Notes.

Інсталятор .NET, відомий як BaseZipInstaller, після запуску шукає на комп’ютері браузери на базі Chromium. Для кожного знайденого профілю він примусово завершує роботу браузера, після чого змінює файли Secure Preferences та Preferences, щоб непомітно встановити шкідливе розширення.

Головне завдання цього розширення – працювати як криптокліпер. Воно стежить за буфером обміну і, коли користувач копіює адресу криптогаманця, автоматично замінює її адресою, яка належить зловмисникам. Для цього розширення запитує доступ до буфера обміну, історії переглядів та всіх відкритих вебсторінок.

Оскільки більшість транзакцій у блокчейні неможливо скасувати, така підміна практично завжди означає остаточну втрату коштів. Дослідники також виявили зв’язок між Silent Swap і раніше відомою кампанією CountLoader, яка використовувала схожий криптокліпер. На їхню думку, за обома атаками, ймовірно, стоїть один і той самий оператор.

Однією з головних особливостей Silent Swap стало використання технології EtherHiding. Замість звичайного сервера керування шкідливе розширення звертається до смартконтракту в блокчейні, який повертає адресу активного сервера командування та управління (C2). Якщо інфраструктуру доводиться змінювати, нападникам достатньо оновити дані у смартконтракті без перевстановлення самого шкідливого ПЗ.

Ще одна особливість кампанії – спосіб встановлення розширення. Воно інтегрується в Google Chrome, Microsoft Edge, Brave, Vivaldi та інші Chromium-браузери шляхом зміни службових файлів налаштувань. Для нових версій браузерів атака також покладається на методи соціальної інженерії, щоб переконати користувача увімкнути режим розробника.

Як пояснюють у McAfee Labs, браузери зазвичай використовують контрольні хеші та HMAC-значення для перевірки цілісності критично важливих налаштувань. Шкідливе ПЗ після внесення змін самостійно перераховує ці значення, через що браузер сприймає встановлення розширення як повністю легітимне.

Завдяки цьому розширення обходить стандартний механізм встановлення через офіційний магазин і запускається без будь-якого підтвердження з боку користувача.

Механізми закріплення також продумані таким чином, щоб максимально ускладнити виявлення. Постійність забезпечується змінами у файлах конфігурації браузера, тому розширення автоматично завантажується після кожного запуску без використання окремих механізмів автозапуску.

Крім того, у браузерах Brave та Opera шкідлива програма намагається автоматично ввімкнути режим розробника, а після завершення встановлення інсталятор самостійно видаляється, приховуючи сліди зараження.

Для підміни адрес використовується ще один механізм. Після перехоплення адреси криптогаманця вона надсилається на сервер нападників, який повертає нову адресу для підміни. Якщо сервер тимчасово недоступний, шкідливий код використовує заздалегідь вбудовану резервну адресу, щоб атака не припинялася.

Для Bitcoin, Ethereum, Bitcoin Cash, Ripple та Dash сервер підбирає окрему адресу зловмисника для кожної жертви. Натомість усі адреси Solana підміняються одним і тим самим гаманцем. На момент дослідження баланс цієї адреси становив 1 902,45 долара.

Дослідники також встановили, що система використовує детерміноване зіставлення. Якщо жертва повторно скопіює ту саму адресу, сервер поверне ту саму адресу нападника, що свідчить про індивідуальне зіставлення для кожного користувача.

За даними телеметрії, кампанія вже поширилася по всьому світу. Найбільше заражень зафіксовано в Індії, але серед постраждалих також є користувачі зі США, Бразилії, Індонезії та Іспанії.

На думку дослідників, ця кампанія демонструє, як змінюється сучасне викрадення криптовалюти. Замість використання однієї статичної адреси зловмисники перейшли до серверної системи індивідуального зіставлення гаманців, а класичні сервери керування замінили інфраструктурою, побудованою на блокчейні.

Окремо фахівці звернули увагу ще на одну загрозу. Було виявлено два шкідливі розширення VPN Go: Free VPN для Google Chrome та Mozilla Firefox. Зовні вони працюють як безкоштовний VPN, але паралельно постійно контролюють буфер обміну й передають скопійовані дані на сервери зловмисників.

Такі розширення можуть викрадати не лише адреси криптогаманців, а й паролі, коди двофакторної автентифікації, API-ключі, OAuth-токени та seed-фрази.

Аналіз показав, що спочатку розробник опублікував повністю безпечні версії розширень, а вже в наступних оновленнях додав функцію викрадення буфера обміну. Для Chrome шкідливий код з’явився у версіях 1.1 та 1.2, а у версії 1.3 змінив сервер збору даних. Для Firefox аналогічна функція вперше була додана у версії 1.3.3, після чого в оновленні 1.3.4 також було змінено інфраструктуру керування.

Фахівці рекомендують усім користувачам, які встановлювали VPN Go: Free VPN, негайно видалити розширення та вважати всі конфіденційні дані, які використовувалися під час його роботи, скомпрометованими.

Дослідники наголошують, що навіть якщо VPN-функціональність справді працює, це лише підсилює ризики. Розширення може перенаправляти вебтрафік через інфраструктуру зловмисників, перехоплювати незашифровані HTTP-з’єднання та одночасно непомітно викрадати інформацію з буфера обміну.

Підписатися
Сповістити про
0 Коментарі
Найстаріші
Найновіше Найбільше голосів
Знайшли помилку?
Якщо ви знайшли помилку, зробіть скріншот і надішліть його боту.