Schädliche Browser-Erweiterung stiehlt Kryptowährungen von Apple-, Windows- und Linux-Nutzern
Erweiterung nutzt Chromium-basierte Browser Chrome, Brave und Opera
Über eine schädliche Erweiterung für die Browser Chrome, Brave und Opera stiehlt eine aktuelle Satacom-Kampagne Kryptowährungen von dedizierten Börsen wie Coinbase oder Binance [1]. Fast 30.000 Nutzer waren in den letzten zwei Monaten diesem Risiko ausgesetzt. Die Erweiterung agiert unbemerkt im Hintergrund und ermöglicht es den Angreifern, alle von diesen Webseiten an das Opfer gesendeten Benachrichtigungen über getätigte Transkationen zu verbergen und so deren Kryptowährungen zu entwenden. Da die Erweiterung Browser-basiert ist, sind sowohl Windows- und Linux- als auch macOS-Nutzer betroffen.
Die aktuelle Kampagne steht im Zusammenhang mit dem Satacom-Downloader, einer berüchtigten Malware-Familie, die seit 2019 aktiv ist und überwiegend über Malvertising auf Dritt-Webseiten verbreitet wird. Die schädlichen Links oder Anzeigen dahinter leiten Nutzer unter anderem zu gefälschten Filesharing-Diensten weiter, auf denen ein Archiv, das den Satacom-Downloader enthält, zum Download bereitgestellt wird. Im Fall dieser jüngsten Kampagne wird die bösartige Browsererweiterung heruntergeladen.
Derzeit stiehlt die Kampagne Bitcoins (BTC) über schädliche Browser-Erweiterungen für Chromium-basierte Browser – darunter Chrome selbst, Brave und Opera –, indem Web-Injektionen auf gezielte Kryptowährungs-Webseiten durchgeführt werden. Die genutzte Malware kann jedoch leicht modifiziert werden, so dass sie auch andere Kryptowährungen stehlen kann. Die schädliche Erweiterung manipuliert den Browser, während der Nutzer auf den Kryptowährungsbörsen Coinbase, Bybit, Kucoin, Huobi und Binance surft. Damit die Aktivitäten vom Nutzer nicht entdeckt werden, verbirgt sie beispielsweise E-Mail-Bestätigungen von Transaktionen und modifiziert bestehende E-Mail-Threads von Kryptowährungs-Webseiten, um gefälschte Threads zu erstellen, die den echten ähneln.
Telemetriedaten von Kaspersky zeigen, dass in den Monaten April und Mai fast 30.000 Personen dem Risiko ausgesetzt waren, von dieser Kampagne betroffen zu werden; die meisten davon in Brasilien (3.996), Mexiko (2.056), Algerien (1.790), der Türkei (1.418), Indien (1.127), Vietnam (1.010) und Indonesien (1.003).
Infektionsweg des Satacom-Downloaders
Die schädliche Erweiterung wird nicht über offizielle Extension-Stores verbreitet, sondern über den Satacom-Downloader bereitgestellt. Die Erstinfektion erfolgt mit einer ZIP-Archivdatei, die von einer Webseite heruntergeladen wird, die Software-Portale imitiert. Über diese kann der Nutzer gewünschte (häufig gecrackte) Software kostenlos herunterladen. Satacom lädt üblicherweise verschiedene Binärdateien auf den Computer herunter. Im Fall der aktuellen Kampagne haben die Kaspersky-Experten ein PowerShell-Skript gefunden, das die Installation der schädlichen Browser-Erweiterung durchführt. Dieses wird heimlich auf dem Computer ausgeführt, während der Nutzer im Internet surft. Dadurch können die Angreifer Bitcoins mithilfe von Web-Injections von der Wallet des Opfers in ihre eigene Wallet übertragen.
„Cyberkriminelle haben die Browser-Erweiterung so modifiziert, dass sie sie durch Skript-Änderungen steuern können“, erklärt Haim Zigel, Malware-Analyst bei Kaspersky. „Dadurch können sie problemlos andere Kryptowährungen ins Visier nehmen. Da die Erweiterung Browser-basiert ist, kann sie auf Windows-, Linux- und macOS-Plattformen abzielen. Wir empfehlen Nutzern, regelmäßig ihre Online-Konten auf verdächtige Aktivitäten zu überprüfen und zuverlässige Sicherheitslösungen zu verwenden, um sich vor solchen Bedrohungen zu schützen.“
Kaspersky-Tipps zur sicheren Nutzung von Kryptowährungen
- URL der Webseiten überprüfen und nicht auf verdächtige Links klicken.
- Den Key zur Kryptowährungs-Wallet nicht mit Dritten teilen.
- Stets über aktuelle Cyberbedrohungen und Best Practices informiert bleiben, um eigene Kryptowährungen zu schützen.
- Vor dem Kauf von Kryptowährungen prüfen, ob der Anbieter legitim ist.
- Eine zuverlässige Sicherheitslösung wie Kaspersky Premium [2] nutzen, die Kryptowährungen schützt.
Weitere Informationen zur Satacom-Kampagne unter https://securelist.com/satacom-delivers-cryptocurrency-stealing-browser-extension/109807
[1] https://securelist.com/satacom-delivers-cryptocurrency-stealing-browser-extension/109807
Nützliche Links:
- Kaspersky-Analyse zur aktuellen Satacom-Kampagne: https://securelist.com/satacom-delivers-cryptocurrency-stealing-browser-extension/109807
- Kaspersky Premium: https://kas.pr/re3t
Schädliche Browser-Erweiterung stiehlt Kryptowährungen von Apple-, Windows- und Linux-Nutzern
Kaspersky
Verwandter Artikel Pressemitteilungen
Kaspersky Thin Client 2.0: Cyber-Immun-Schutz mit verbesserter Konnektivität und Leistung
BOLL Engineering testete Kaspersky Thin Client 2.0 in der Pilotphase und führt Produkt in Deutschland, Österreich und der Schweiz einMehr anzeigen >Kaspersky Extended Detection and Response jetzt für Unternehmen verfügbar
Fortschrittliche XDR-Lösung für umfassende Bedrohungserkennung und -reaktionMehr anzeigen >Kaspersky Next: Neue Produktreihe für Unternehmen
Robuster Endpunktschutz mit KI-Funktionen kombiniert mit EDR (Endpoint Detection and Response) und XDR (Extended Detection and Response)Mehr anzeigen >