Silent Swap: złośliwe rozszerzenie Chromium podmienia adresy portfeli kryptowalut - Security Bez Tabu

Silent Swap: złośliwe rozszerzenie Chromium podmienia adresy portfeli kryptowalut

Cybersecurity news

Wprowadzenie do problemu / definicja

Silent Swap to kampania malware z kategorii crypto clipper, zaprojektowana do przechwytywania i podmiany adresów portfeli kryptowalut w momencie przygotowywania transakcji. Atak wykorzystuje złośliwe rozszerzenie dla przeglądarek opartych na Chromium, podszywające się pod nieszkodliwe narzędzie „Google Notes”, przez co użytkownik może nie zauważyć, że skopiowany prawidłowy adres odbiorcy został zamieniony na adres kontrolowany przez przestępców.

To zagrożenie jest szczególnie niebezpieczne, ponieważ działa w kluczowym momencie procesu płatności i uderza bezpośrednio w integralność danych kopiowanych do schowka. W praktyce wystarczy jedno nieuważne zatwierdzenie przelewu, aby środki trafiły do atakującego.

W skrócie

  • Silent Swap to kampania kradzieży kryptowalut oparta na złośliwym rozszerzeniu przeglądarki.
  • Malware wykorzystuje niepodpisane instalatory w wariantach .NET i Golang.
  • Atak omija standardowy proces instalacji dodatków i modyfikuje pliki konfiguracyjne profili Chromium.
  • Rozszerzenie uzyskuje dostęp do schowka, historii przeglądania i wszystkich odwiedzanych adresów URL.
  • Mechanizm dynamicznie podmienia adresy portfeli dla wielu popularnych kryptowalut.
  • Do utrzymywania infrastruktury C2 wykorzystywana jest technika EtherHiding.

Kontekst / historia

Kampanie typu clipper funkcjonują w krajobrazie zagrożeń od lat, jednak ich wcześniejsze warianty były znacznie prostsze. Najczęściej opierały się na monitorowaniu schowka i zamianie wykrytego adresu kryptowalutowego na jeden, na stałe zakodowany adres przestępców. Taki model był relatywnie łatwy do wykrycia i blokowania, ponieważ analitycy mogli szybko powiązać incydenty z konkretnym adresem lub infrastrukturą.

Silent Swap pokazuje wyraźną ewolucję tego rodzaju malware. Zamiast prostego mechanizmu podmiany stosuje bardziej elastyczny model operacyjny, w którym backend przypisuje fałszywe adresy do konkretnych oryginalnych adresów użytkowników. Dzięki temu kampania jest trudniejsza do analizy, mniej widoczna dla ofiar i bardziej odporna na zakłócenia po stronie infrastruktury przestępczej.

Według ustaleń badaczy aktywność kampanii ma charakter globalny. Telemetria wskazuje szczególnie na ofiary w Indiach, ale także w Stanach Zjednoczonych, Brazylii, Indonezji i Hiszpanii, co sugeruje szeroko zakrojoną dystrybucję oraz brak ograniczenia do jednego rynku lub regionu.

Analiza techniczna

Łańcuch infekcji rozpoczyna się od uruchomienia niepodpisanego instalatora. W analizowanych próbkach zaobserwowano warianty stworzone w technologiach .NET oraz Golang. Jeden z komponentów pobiera archiwum ZIP, a następnie przeszukuje system w poszukiwaniu przeglądarek opartych na Chromium, takich jak Google Chrome, Microsoft Edge, Brave czy Vivaldi.

Po zidentyfikowaniu odpowiednich profili użytkownika malware zamyka procesy przeglądarki i bezpośrednio modyfikuje pliki Preferences oraz Secure Preferences. To bardzo istotny etap, ponieważ właśnie tam przechowywane są ustawienia rozszerzeń oraz dane integralności, które mają wykrywać nieautoryzowane zmiany. Złośliwe oprogramowanie aktualizuje konfigurację i przelicza wartości weryfikacyjne, aby przeglądarka zaakceptowała dodatek jako prawidłowo zainstalowany.

W rezultacie rozszerzenie może zostać załadowane bez standardowej interakcji użytkownika i bez konieczności korzystania z oficjalnego sklepu z dodatkami. W części scenariuszy, zwłaszcza w nowszych wersjach przeglądarek, wymagane może być włączenie trybu deweloperskiego, co może odbywać się zarówno z użyciem socjotechniki, jak i prób programowego wymuszenia odpowiednich ustawień.

Sam komponent przeglądarkowy pełni funkcję clippera. Monitoruje schowek i analizuje kopiowane dane pod kątem wzorców odpowiadających adresom portfeli kryptowalut. Po wykryciu potencjalnego adresu przesyła go do zaplecza atakującego, które zwraca adres przeznaczony do podstawienia. To podejście jest bardziej zaawansowane niż klasyczna zamiana na jeden stały adres, ponieważ umożliwia deterministyczne mapowanie jeden do jednego. Jeśli użytkownik ponownie skopiuje ten sam prawidłowy adres, otrzyma ten sam fałszywy wynik, co dodatkowo utrudnia wykrycie oszustwa.

Jeżeli komunikacja z serwerem nie powiedzie się, malware może użyć adresu zapasowego zakodowanego na stałe. Według opisu kampanii obsługiwane są wzorce adresów dla kryptowalut takich jak Bitcoin, Ethereum, Bitcoin Cash, Ripple i Dash. W przypadku Solany zaobserwowano kierowanie środków do jednego kontrolowanego adresu.

Dodatkową warstwą utrudniającą analizę jest wykorzystanie EtherHiding. W tym modelu blockchain służy jako pośrednik do publikowania aktualnych danych o infrastrukturze dowodzenia i kontroli. Pozwala to operatorowi zmieniać domeny lub punkty kontaktowe bez potrzeby ponownego wdrażania malware, co zwiększa odporność operacji na blokowanie i przejęcia infrastruktury.

Kampania została również zaprojektowana pod kątem trwałości i ograniczania śladów. Po instalacji złośliwe rozszerzenie utrzymuje się dzięki zmianom w profilach przeglądarki, a sam instalator może usunąć się po zakończeniu działania, redukując liczbę artefaktów pozostawionych na systemie.

Konsekwencje / ryzyko

Najpoważniejszym skutkiem działania Silent Swap jest bezpośrednia utrata środków kryptowalutowych. Ponieważ transakcje blockchain są zazwyczaj nieodwracalne, przesłanie aktywów na podstawiony adres zwykle oznacza trwałą stratę. Z punktu widzenia ofiary nawet pojedyncza pomyłka może mieć bardzo wysoki wpływ finansowy.

Ryzyko wykracza jednak poza same kryptowaluty. Rozszerzenie żąda szerokich uprawnień, obejmujących dostęp do schowka, historii przeglądania oraz wszystkich odwiedzanych adresów URL. Taki poziom dostępu może zostać wykorzystany do dalszej inwigilacji, profilowania zachowań użytkownika, a także pozyskiwania informacji przydatnych w kolejnych etapach ataku.

Z perspektywy zespołów bezpieczeństwa Silent Swap pokazuje, że tradycyjne wskaźniki kompromitacji przestają być wystarczające. Jeśli przestępcy korzystają z dynamicznego mapowania adresów i elastycznej infrastruktury C2 ukrywanej za mechanizmami opartymi o blockchain, pojedynczy adres portfela czy jedna domena przestają mieć dużą wartość operacyjną.

Rekomendacje

Organizacje oraz użytkownicy indywidualni powinni traktować niepodpisane instalatory i dodatki do przeglądarek spoza oficjalnych kanałów jako zagrożenie wysokiego ryzyka. Ochrona przed podobnymi kampaniami wymaga podejścia wielowarstwowego.

  • Ograniczyć możliwość instalowania rozszerzeń wyłącznie do zaufanych źródeł i stosować listy dozwolonych dodatków.
  • Monitorować zmiany w plikach Preferences oraz Secure Preferences w profilach przeglądarek Chromium.
  • Rejestrować nietypowe zdarzenia, takie jak nagłe zamykanie procesów przeglądarki, modyfikacje profilu czy uruchamianie niepodpisanych instalatorów.
  • Wykrywać próby aktywacji trybu deweloperskiego w przeglądarkach użytkowników.
  • Każdorazowo ręcznie weryfikować adres odbiorcy przed zatwierdzeniem transakcji kryptowalutowej.
  • Porównywać co najmniej początkowe i końcowe znaki adresu z oryginalnym źródłem.
  • W miarę możliwości korzystać z portfeli sprzętowych oraz niezależnych mechanizmów potwierdzania transakcji.
  • Traktować ostrożnie wszystkie dane kopiowane do schowka, w tym hasła, seed phrase, tokeny API i kody uwierzytelniające.
  • W razie podejrzenia kompromitacji usunąć podejrzane rozszerzenia, przeprowadzić pełną analizę hosta i wymienić potencjalnie ujawnione dane dostępowe.

Podsumowanie

Silent Swap to przykład nowoczesnej kampanii crypto clipper, która łączy socjotechnikę, manipulację konfiguracją przeglądarki oraz odporną na zakłócenia infrastrukturę sterowania. Kluczowym zagrożeniem pozostaje cicha podmiana adresów portfeli w chwili wykonywania transakcji, co może prowadzić do natychmiastowej i nieodwracalnej utraty środków.

Z perspektywy obrony najważniejsze są kontrola rozszerzeń przeglądarkowych, nadzór nad integralnością profili Chromium, ostrożność wobec niepodpisanych instalatorów oraz konsekwentna weryfikacja adresów kryptowalut przed zatwierdzeniem przelewu. Kampania pokazuje również szerszy trend: cyberprzestępcy coraz częściej porzucają proste, statyczne narzędzia na rzecz bardziej elastycznych i trudniejszych do wykrycia łańcuchów infekcji.

Źródła

  • The Hacker News — Silent Swap Crypto Clipper Uses Fake Google Notes Extension to Replace Wallet Addresses — https://thehackernews.com/2026/06/silent-swap-crypto-clipper-uses-fake.html
  • MITRE ATT&CK — Dead Drop Resolver — https://attack.mitre.org/techniques/T1102/001/
  • Google Chrome for Developers — Manifest file format and extension architecture — https://developer.chrome.com/docs/extensions/