据U.Today当地时间7月1日报道,McAfee Advanced Threat Research发现并命名了一种新的加密资产窃取恶意软件“Silent Swap”。该恶意软件可将比特币(BTC)、XRP等主流加密货币的钱包地址替换为攻击者地址,较传统Clipper类恶意软件更具隐蔽性。
McAfee表示,“Silent Swap”的核心手法是拦截用户复制的钱包地址,并在转账前将其替换为攻击者控制的地址。与通常内置固定钱包地址的Clipper恶意软件不同,“Silent Swap”依托浏览器扩展实施攻击,并从攻击者远程服务器实时获取钱包地址映射。
研究人员将这一机制称为“服务器端钱包地址映射”(Server-side Wallet Mapping)。当用户复制的字符串符合比特币、以太坊(ETH)、XRP、比特币现金(BCH)、达世币(DASH)等币种的钱包地址格式时,恶意扩展就会向服务器发起请求,获取新的钱包地址并自动完成替换。
从感染路径来看,受害者通常是在运行未经签名的.NET或Go安装程序后中招。相关安装包大多伪装成免费软件或破解版本传播。感染发生后,系统会安装一款名为“Google Note”、伪装成正常程序的恶意浏览器扩展。
McAfee称,该恶意软件的主要目标包括Google Chrome、Microsoft Edge、Brave和Opera等基于Chromium的浏览器。其会通过篡改浏览器配置文件强行植入扩展,并重算用于校验扩展完整性的安全数据,以绕过浏览器安全校验。安装完成后,该扩展可获取较高权限,并在浏览器内部持续运行。
在命令与控制(C2)机制上,“Silent Swap”也不同于传统恶意软件。攻击者并未将C2服务器地址直接写入样本,而是借助“EtherHiding”技术,通过分布式基础设施传递服务器信息,从而提高追踪难度。
McAfee研究团队指出,“Silent Swap”将高级浏览器操控技术与分布式C2基础设施结合在一起,使其相较既有Clipper类恶意软件更难被检测和拦截。
目前,已确认的受害情况出现在多个地区,其中印度的感染案例更为集中。不过,整体感染规模及造成的损失金额尚未披露。
这一案例显示,加密资产窃取手法已从简单的剪贴板监控,进一步升级为针对浏览器安全机制的攻击。McAfee提醒用户,在发起转账前务必核对最终收款地址,以降低资产被盗风险。