Campanha de Extensões Maliciosas Roubando Criptomoedas em Navegadores
Pesquisadores de cibersegurança identificaram uma campanha ativa de extensões de navegador, chamada Silent Swap, que visa roubar criptomoedas ao substituir furtivamente endereços de carteiras durante transações. A campanha utiliza instaladores não assinados, observados em variantes .NET e Golang, que implantam uma extensão maliciosa disfarçada de um utilitário benigno chamado ‘Google Notes’. Essa extensão age como um clipper, interceptando e manipulando endereços de carteiras copiadas para a área de transferência, redirecionando os fundos para carteiras controladas por atacantes. A técnica EtherHiding é utilizada para atualizar detalhes do servidor de comando e controle (C2) através da blockchain, permitindo que os atacantes mudem facilmente o domínio sem precisar redeployar o malware. A instalação da extensão é feita de forma clandestina, alterando arquivos de configuração protegidos dos navegadores, como Chrome e Edge, e requer que o modo desenvolvedor esteja ativado, o que pode ser conseguido por meio de engenharia social. A campanha já afetou usuários em vários países, incluindo Brasil e Índia, e representa uma evolução nas táticas de roubo de criptomoedas, com um mapeamento de endereços por vítima sendo uma das inovações mais preocupantes.