McAfee Labs zufolge ist Silent Swap darauf ausgelegt, Kryptowährungen umzuleiten, indem Wallet-Adressen beim Kopieren und Einfügen ausgetauscht werden. Die Kampagne nutzt eine als harmloses Werkzeug getarnte Erweiterung namens „Google Notes“. Verteilt wird sie über unsignierte Installer, die in beobachteten Fällen als .NET- und Golang-Varianten vorlagen.
Der .NET-Installer mit dem Namen BaseZipInstaller lädt ein ZIP-Archiv nach und durchsucht das System nach Chromium-basierten Browsern. Für jedes gefundene Profil beendet er den Browser-Prozess zwangsweise und schleust die Erweiterung ein, indem er die Dateien Secure Preferences und Preferences verändert. Laut McAfee verlangt die gefälschte Erweiterung Berechtigungen für die Zwischenablage, sämtliche URLs und den Browserverlauf.
Technisch sticht Silent Swap laut McAfee durch den Einsatz von EtherHiding hervor. Dabei wird die Blockchain als eine Art Ablagepunkt genutzt, um die aktuell gültigen Daten des Command-and-Control-Servers abzurufen. Der Angreifer kann so den Verweis auf eine neue Domain durch eine Änderung am Smart Contract austauschen, ohne die Schadsoftware selbst neu verteilen zu müssen.
Hinzu kommt die verdeckte Installation auf Browsern wie Google Chrome, Microsoft Edge, Brave und Vivaldi durch Änderungen an geschützten Einstellungsdateien. Für neuere Browserversionen muss dabei der Entwicklermodus aktiviert sein, was laut McAfee per Social Engineering erreicht werden kann. Normalerweise speichern diese Browser Sicherheitsprüfwerte wie Hash- oder HMAC-Werte neben sensiblen Einstellungen, um unautorisierte Änderungen zu erkennen. Die Schadsoftware berechnet diese Werte nach der Manipulation neu und aktualisiert sie, sodass der Browser die Erweiterung als legitim installiert ansieht und sie ohne Zustimmung des Nutzers lädt.
McAfee beschreibt die Kampagne als bewusst mehrschichtig in Sachen Persistenz und Umgehung. Die Erweiterung wird durch Änderungen an der Datei Secure Preferences so registriert, dass sie bei späteren Browser-Starts erneut geladen wird. Zusätzlich versucht die Schadsoftware, den Entwicklermodus in Brave und Opera programmatisch zu aktivieren. Nach der Ausführung löscht sich der Installer selbst und beseitigt damit einen Hinweis auf die Erstinfektion.
Für den eigentlichen Adresstausch sendet die Schadsoftware die abgefangene Wallet-Adresse an das Backend der Angreifer und ersetzt sie dynamisch anhand der Antwort. Falls die Anfrage fehlschlägt, greift sie laut McAfee auf eine fest hinterlegte Wallet-Adresse zurück. Betroffen sind Muster für Bitcoin, Ethereum, Bitcoin Cash, Ripple und Dash; diese werden serverseitig jeweils einer eindeutigen Angreifer-Adresse zugeordnet. Solana-Adressen werden dagegen alle auf eine einzige Angreifer-Adresse aufgelöst. Zum Zeitpunkt des Berichts wies diese Solana-Adresse ein Guthaben von 1.902,45 US-Dollar auf. Die Zuordnung arbeitet deterministisch: Wird dieselbe ursprüngliche Adresse erneut übermittelt, liefert der Server dieselbe Ersatzadresse zurück. Telemetriedaten deuten laut McAfee auf weltweit verteilte Infektionen hin, mit einer höheren Konzentration in Indien; weitere betroffene Länder sind die USA, Brasilien, Indonesien und Spanien.
Socket meldet parallel zwei bösartige Erweiterungen mit dem Namen „VPN Go: Free VPN“ für Chrome und Mozilla Firefox. Den Forschern Kirill Boychenko und Kush Pandya zufolge treten beide als kostenlose VPN-Werkzeuge mit sichtbarer Proxy-Funktion auf, enthalten im Hintergrund aber eine Logik zum Diebstahl von Zwischenablage-Daten, die kopierten Text fortlaufend überwacht und an von den Angreifern kontrollierte Infrastruktur exfiltriert.
Das Verhalten beschränkt sich laut Socket nicht auf Wallet-Adressen. Abgegriffen werden können auch Passwörter, Authentifizierungscodes, API-Schlüssel, OAuth-Token und Seed-Phrasen. Die Analyse zeigte zudem ein gestuftes Muster bösartiger Updates: Zunächst veröffentlichte der Entwickler eine unauffällige Version in den Erweiterungs-Stores, erst spätere Updates brachten die Funktion zum Diebstahl der Zwischenablage.
Bei der Chrome-Erweiterung exfiltrierten die Versionen 1.1 und 1.2 Daten an „178.236.252[.]133“, während Version 1.3 den Kanal auf „77.91.123[.]187“ umstellte. Bei der Firefox-Variante war Version 1.3.3 die erste mit Zwischenablage-Diebstahl und Versand an „178.236.252[.]133“; das Update 1.3.4 verlagerte die Infrastruktur auf „77.91.123[.]187“. Socket betont, der statische Code zeige klar, dass die Erweiterungen tatsächlich als Proxy-Werkzeuge funktionieren und nicht nur eine gefälschte VPN-Oberfläche anzeigen.