Onderzoekers van McAfee Labs hebben een actieve campagne ontdekt waarbij een kwaadaardige browserextensie wordt ingezet om cryptocurrency te stelen door walletadressen heimelijk te vervangen zodra gebruikers een transactie starten. Deze crypto-clipper-activiteit is door McAfee Labs gedoopt tot Silent Swap.

De campagne wordt verspreid via niet-ondertekende installateurs, beschikbaar in .NET- en Golang-varianten, die een kwaadaardige Chromium-extensie installeren die zich voordoet als een onschuldige 'Google Notes'-applicatie. De .NET-installateur, BaseZipInstaller genoemd, downloadt een ZIP-archief dat de basis vormt voor de extensie en scant het systeem op Chromium-gebaseerde browsers. Voor elk gevonden profiel wordt het browserproces geforceerd afgesloten en wordt de extensie geïnstalleerd door de beveiligde browserinstellingen aan te passen.

De extensie fungeert als een clipper die walletadressen onderschept en vervangt wanneer deze in het klembord worden gekopieerd, met als doel de cryptofondsen om te leiden naar een door de aanvaller beheerd walletadres. Hiervoor vraagt de valse Google Notes-extensie uitgebreide permissies, waaronder toegang tot het klembord, alle URL's en de browsegeschiedenis. Omdat blockchaintransacties onomkeerbaar zijn, kan deze adresvervanging leiden tot blijvend financieel verlies voor slachtoffers.

Volgens McAfee Labs overlapt deze activiteit met een eerdere CountLoader-campagne die eveneens een crypto-clipper gebruikte, waarbij aanwijzingen wijzen naar dezelfde dreigingsactor. Silent Swap onderscheidt zich door het gebruik van een techniek genaamd EtherHiding, waarbij de blockchain fungeert als een dead drop resolver om de actieve command-and-control servergegevens op te halen. Dit stelt de aanvaller in staat om eenvoudig een smart contract bij te werken met een nieuw domein zonder de malware opnieuw te hoeven uitrollen.

Daarnaast wordt de extensie heimelijk geïnstalleerd op Chromium-browsers zoals Google Chrome, Microsoft Edge, Brave en Vivaldi door beveiligde browserinstellingen te manipuleren. Dit vereist dat de ontwikkelaarsmodus in de browser is ingeschakeld, wat de aanvaller via social engineering kan afdwingen. De malware past de beveiligingshashes in de browserbestanden aan zodat de browser denkt dat de extensie legitiem is geïnstalleerd, waardoor de installatie zonder gebruikersgoedkeuring kan plaatsvinden.

De campagne is ontworpen om onopvallend te blijven en moeilijk te verwijderen, met een focus op het behouden van persistente aanwezigheid door de extensie automatisch te laten laden bij elke browserstart. De malware probeert ook de ontwikkelaarsmodus in Brave en Opera automatisch te activeren en verwijdert zichzelf na installatie om sporen te wissen. Een extra evasietechniek is het dynamisch vervangen van walletadressen, waarbij het originele adres naar de backend van de aanvaller wordt gestuurd en een vervangend adres wordt opgehaald. Bij een mislukte backend-aanroep wordt een vooraf ingesteld hardcoded adres gebruikt.