Nueva campaña de malware “Silent Swap” apunta a XRP y BTC mediante una extensión falsa de Google 

Tabla de Contenidos

Puntos Clave de la Noticia:

  • McAfee Advanced Threat Research descubrió la campaña de malware denominada «Silent Swap».
  • El software malicioso utiliza una extensión falsa de Google Notes en navegadores Chromium.
  • La campaña registra un alto volumen de infecciones globales, concentrándose en India.

Investigadores de ciberseguridad de McAfee detectaron Silent Swap, una sofisticada campaña de malware diseñada para desviar transferencias de Bitcoin y XRP mediante la manipulación de navegadores basados en Chromium. El reporte técnico de la empresa indica que, los atacantes logran interceptar el portapapeles de los usuarios para sustituir direcciones legítimas de billeteras por billeteras controladas por los operadores del ataque.

La infección inicial se produce mediante la descarga de instaladores modificados. El informe de McAfee detalla que estos archivos ejecutables, desarrollados en lenguajes .NET o Golang, suelen distribuirse bajo la fachada de programas gratuitos o versiones de software comercial que fueron vulneradas.

Una vez que el usuario ejecuta este instalador en su sistema operativo, el componente malicioso se despliega de forma automatizada en el almacenamiento local. El reporte técnico especifica que este proceso altera directamente los archivos de configuración internos de la aplicación de navegación de las víctimas.

Investigadores de McAfee detectaron Silent Swap

Técnicas avanzadas de evasión y persistencia

El malware inyecta una extensión que simula ser una herramienta legítima de «Google Notes». Según los datos de McAfee, el software malicioso cuenta con la capacidad de evadir las defensas estándar de navegadores como Chrome, Microsoft Edge, Brave y Opera, recalculando de forma autónoma los valores de verificación de seguridad que estos sistemas exigen tras sufrir modificaciones internas.

«La extensión falsa otorga a sí misma permisos invasivos dentro del sistema una vez instalada», indica el reporte de la empresa de ciberseguridad.

A diferencia de los troyanos tradicionales de tipo clipper, que contienen direcciones fijas en su código, este sistema utiliza una infraestructura dinámica. Cuando el código detecta que el usuario ha copiado una dirección que coincide con los patrones de BTC, ETH, XRP, Bitcoin Cash o Dash, realiza una consulta directa al servidor del atacante.

Los analistas de McAfee señalan que el servidor devuelve en tiempo real una dirección alternativa que se ajusta a la criptomoneda detectada. El mecanismo dificulta el rastreo por parte de los analistas de seguridad debido a la constante rotación de los monederos receptores.

La infraestructura del ataque tampoco depende de dominios estáticos. De acuerdo con la documentación de McAfee, los operadores emplean una técnica conocida como «EtherHiding», la cual permite ocultar las instrucciones de comando y control (C2) dentro de contratos inteligentes de redes blockchain de acceso público. El análisis geográfico de la firma determinó que la campaña mantiene un alcance global, identificando un volumen especialmente elevado de sistemas comprometidos en la región de India durante las fases de monitoreo del primer semestre de este año.

RELATED POSTS

Ads

Síguenos en Redes

Cripto Tutoriales

Cripto Reviews