Nova Campanha de Malware Utilizando o Satacom Downloader para Roubar Criptomoedas
7 de Junho de 2023

Uma recente campanha de malware foi descoberta usando o downloader Satacom como um canal para implantar malware furtivo capaz de roubar criptomoedas usando uma extensão maliciosa para navegadores baseados em Chromium.

"O principal objetivo do malware que é baixado pelo downloader Satacom é roubar BTC da conta da vítima, realizando injeções da web em sites de criptomoedas específicos", disseram os pesquisadores Haim Zigel e Oleg Kupreev da Kaspersky.

Os alvos da campanha incluem usuários do Coinbase, Bybit, KuCoin, Huobi e Binance principalmente localizados no Brasil, Argélia, Turquia, Vietnã, Indonésia, Índia, Egito e México.

O downloader Satacom, também chamado de Legion Loader, surgiu em 2019 como um dropper para payloads de próximo estágio, incluindo roubadores de informações ('info stealers') e mineradores de criptomoedas.

As cadeias de infecção envolvendo o malware começam quando os usuários que procuram softwares pirateados são redirecionados para sites falsos que hospedam arquivos de arquivo ZIP contendo o malware.

O arquivo de arquivo contém um executável chamado "Setup.exe" que tem cerca de 5 MB de tamanho, mas inflado para cerca de 450 MB com bytes nulos na tentativa de evitar análise e detecção.

O lançamento do binário inicia a rotina do malware, culminando na execução do downloader Satacom que, por sua vez, usa solicitações de DNS como um método de comando e controle (C2) para buscar a URL que hospeda o malware real.

A campanha documentada pela Kaspersky leva a um script do PowerShell, que baixa a extensão do navegador de um servidor terceirizado remoto.

Ele também procura arquivos de atalho do navegador (.LNK) no host comprometido e modifica o parâmetro "Target" com o sinalizador "--load-extension" para iniciar o navegador com a extensão baixada.

Além disso, a extensão se disfarça como uma extensão do Google Drive e usa injeções da web enviadas pelo servidor C2 quando a vítima está visitando um dos sites de criptomoedas específicos para manipular o conteúdo e roubar criptomoedas.

O endereço C2 é ocultado dentro do script e dos campos addr da transação de bitcoin mais recente associada a um endereço de carteira controlado pelo ator, empregando a mesma técnica que o malware da botnet Glupteba para contornar bloqueios ou desligamentos de domínio.

"A extensão executa várias ações na conta para controlá-la remotamente usando os scripts de injeção da web e, eventualmente, a extensão tenta sacar a moeda BTC para a carteira dos atores de ameaças", disseram os pesquisadores.

Em uma tentativa adicional de ocultar sua atividade, a extensão maliciosa contém scripts para ocultar a confirmação por e-mail da transação fraudulenta em serviços do Gmail, Hotmail e Yahoo! por meio de uma injeção de código HTML.

Uma consequência dessa injeção é que a vítima não tem conhecimento de que uma transferência ilícita para a carteira dos atores de ameaças foi feita.

Outro aspecto notável da extensão é sua capacidade de extrair metadados do sistema, cookies, histórico de navegação, capturas de tela de guias abertas e até mesmo receber comandos do servidor C2.

"A extensão pode atualizar sua funcionalidade devido à técnica usada para recuperar o servidor C2 por meio da última transação de uma carteira BTC específica, que pode ser modificada a qualquer momento fazendo outra transação para essa carteira", disseram os pesquisadores.

"Isso permite que os atores de ameaças alterem o URL do domínio para um diferente, caso seja banido ou bloqueado por fornecedores de antivírus".

O desenvolvimento ocorre quando várias extensões armadilhadas, fingindo ser utilitários legítimos, foram descobertas na Chrome Web Store com capacidade de espalhar adware e sequestrar resultados de pesquisa para exibir links patrocinados, resultados de pesquisa pagos e possivelmente links maliciosos.

As extensões, embora ofereçam as funcionalidades prometidas, continham código ofuscado que permitia que um site terceirizado injetasse código JavaScript arbitrário em todos os sites que um usuário visitava sem o seu conhecimento.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...