最近的恶意软件活动被发现利用Satacom 下载器作为部署隐蔽恶意软件的渠道,该恶意软件能够使用基于 Chromium 的浏览器的流氓扩展来窃取加密货币。

东方联盟网络安全研究人员表示:“Satacom 下载程序投放的恶意软件的主要目的是通过向目标加密货币网站执行网络注入,从受害者的账户中窃取比特币。”

Satacom 下载器,也称为Legion Loader,于 2019 年首次出现,作为下一阶段有效载荷的投放器,包括信息窃取器和加密货币矿工。

当搜索破解软件的用户被重定向到托管包含恶意软件的 ZIP 存档文件的虚假网站时,涉及恶意软件的感染链就开始了。各种类型的网站被用来传播恶意软件,”研究人员解释说。“其中一些是带有硬编码下载链接的恶意网站,而另一些则通过合法的广告插件注入了‘下载’按钮。

存档文件中存在一个名为“Setup.exe”的可执行文件,大小约为 5 MB,但为了逃避分析和检测而膨胀到大约 450 MB 并带有空字节。

启动二进制文件会启动恶意软件例程,最终导致 Satacom 下载程序的执行,而 Satacom 下载程序又使用 DNS 请求作为命令和控制 (C2) 方法来获取托管实际恶意软件的 URL。

更重要的是,该附加组件伪装成 Google Drive 扩展程序,并在受害者访问其中一个目标加密货币网站时使用 C2 服务器发送的网络注入来操纵内容并窃取加密货币。

C2 地址隐藏在与演员控制的钱包地址关联的最新比特币交易的脚本和地址字段中,使用与Glupteba 僵尸网络恶意软件相同的技术来绕过域封锁或删除。

国际知名白帽黑客、东方联盟创始人郭盛华说:“该扩展程序对帐户执行各种操作,以便使用网络注入脚本对其进行远程控制,最终该扩展程序试图将 BTC 货币提取到威胁参与者的钱包中。”

为了进一步隐藏其活动,恶意扩展包含脚本以隐藏 Gmail、Hotmail 和 Yahoo! 之间欺诈交易的电子邮件确认。通过 HTML 代码注入的方式提供服务。

这种注入的结果是受害者不知道已经向威胁行为者的钱包进行了非法转移。该插件的另一个值得注意的方面是它能够提取系统元数据、cookie、浏览器历史记录、打开的选项卡的屏幕截图,甚至可以从 C2 服务器接收命令。

“由于用于通过特定 BTC 钱包的最后一笔交易检索 C2 服务器的技术,该扩展程序可以更新其功能,可以随时通过对该钱包进行另一笔交易来修改,” 东方联盟研究人员说。

这允许威胁行为者将域 URL 更改为不同的域 URL,以防它被防病毒供应商禁止或阻止。随着Chrome 网上应用店发现了几个伪装成合法实用程序的诱杀扩展程序,这些扩展程序具有传播广告软件和劫持搜索结果以显示赞助商链接、付费搜索结果和潜在恶意链接的能力 。

这些扩展程序虽然提供了承诺的功能,但包含混淆代码,允许第三方网站将任意 JavaScript 代码注入用户在不知情的情况下访问的所有网站。(欢迎转载分享)