كشف تقرير حديث، عن تعرض نحو 30 ألف مستخدم لخطر الاستهداف باستخدام امتداد خبيث لثلاثة من المتصفحات، وهي، كروم، و برافا ، و أوبرا ل سرقة العملات المشفرة من الضحايا ضمن حملة "ساتاكوم". خلال الشهرين الماضيين.
ونفذ المهاجمون مجموعة من الإجراءات الخبيثة لضمان بقاء الامتداد خفياً وغير مكتشف، في الوقت الذي يبقى فيه المستخدم يتصفح مواقع تبادل العملات المشفرة المستهدفة بطمأنينة، بما في ذلك Coinbase و Binance.
ويتيح الامتداد لجهات التهديد إخفاء أي إشعارات معاملات يتم إرسالها إلى الضحية من قبل هذه المواقع، لسرقة عملاتهم المشفرة.
ووفقا لـ كاسبرسكي، ترتبط الحملة الأخيرة بـ Satacom downloader، وهي مجموعة برامج خبيثة سيئة السمعة ونشطة منذ العام 2019، ويتم نشرها بشكل أساسي عبر الإعلانات الخبيثة التي يتم نشرها على المواقع الإلكترونية التابعة لجهات خارجية.
وتعمل الروابط أو الإعلانات الخبيثة على إعادة توجيه المستخدمين إلى خدمات مشاركة الملفات المزيفة والصفحات الخبيثة الأخرى التي تعرض تنزيل أرشيف يحتوي على برنامج Satacom Downloader.
وفي حالة هذه الحملة الأخيرة، يقوم المستخدم بتنزيل امتداد المتصفح الخبيث.
تثبيت ملحق للمتصفح ل سرقة العملات المشفرة وإخفاء نشاطها.
يتمثل الهدف الأساسي للحملة في سرقة عملة البيتكوين من حسابات الضحايا، حيث يتم ذلك عن طريق إجراء عمليات حقن إلكترونية لمواقع العملات المشفرة المستهدفة. ومع ذلك، يمكن تعديل البرامج الخبيثة بسهولة لاستهداف العملات المشفرة الأخرى.
وتبيّن من خلال قراءات كاسبرسكي أن قائمة الدول الأكثر تضرراً من هذا التهديد خلال الشهرين الماضيين، كانت كلاً من البرازيل والمكسيك والجزائر وتركيا والهند وفيتنام وإندونيسيا.
ويعمل الامتداد الخبيث على معالجة المتصفح في أثناء قيام الشخص بتصفح مواقع تبادل العملات المشفرة المستهدفة. وتستهدف الحملة مستخدمي منصات Coinbase و Bybit و Kucoin و Huobi و Binance.
وإلى جانب سرقة العملة المشفرة، يقوم الامتداد بإجراءات إضافية لإخفاء نشاطه الأساسي، ومنها على سبيل المثال إخفاء الرسائل التأكيد الإلكتروني للمعاملات، وتعديل سلاسل البريد الإلكتروني الحالية من مواقع العملات المشفرة لإنشاء سلاسل رسائل وهمية تحاكي الحقيقية إلى حد بعيد.
ولا تحتاج الجهات القائمة على التهديد في هذه الحملة إلى إيجاد طرق للتسلل إلى متاجر الامتدادات الرسمية، بسبب استخدامها لبرنامج Satacom downloader للقيام بالعملية.
وتبدأ الإصابة الأولية باستخدام ملف أرشيف مضغوط يتم تحميله من موقع إلكتروني يبدو أنه يحاكي بوابات البرامج، ويتيح ذلك للمستخدم بتحميل البرنامج المطلوب (غالباً ما يكون مخترقاً).
وفي العادة، تقوم حملة Satacom بتحميل العديد من الثنائيات على جهاز الضحية.
ولاحظ الباحثون هذه المرة وجود نص برمجي من PowerShell تتمثل مهمته في تثبيت امتداد لأحد المتصفحات الخبيثة.
وبعد ذلك، توجد هناك سلسلة من الإجراءات الخبيثة التي تتيح للامتداد ذاته بالعمل بطريقة مخفية في أثناء تصفح المستخدم لشبكة الإنترنت. ونتيجة لذلك، يصبح المهاجمون قادرين على نقل عملات البتكوين من محفظة الضحية إلى محفظتهم، حيث يتم ذلك عن طريق استخدام آليات الحقن الشبكية.