Átverős bővítmények, csaló fejlesztő
A Bitcoin Black és a Codo AI néven futó bővítményeket színtémaként, illetve MI‑asszisztensként töltötte fel a piactérre a „BigBlack” nevű fejlesztő. A Codo AI a felfedezés idején is elérhető volt kevesebb mint 30 letöltéssel, míg a Bitcoin Black mindössze egy telepítéssel.
Kifinomult támadási módszerek
A Bitcoin Black minden VSCode-műveletre aktiválódik, és jogosulatlanul képes PowerShell-parancsokat futtatni. Régebbi verziókban jelszóval védett csomagokat töltött le, amelyeket PowerShell‑ablakban futtatott — ez némi gyanút ébreszthetett a felhasználóban. Az újabb kiadások már rejtett ablakban, batch‑szkripttel töltik le a fertőző DLL‑t és a futtatható állományt.
Adatlopás minden fronton
Mindkét bővítmény egy valódi Lightshot képernyőmentő eszköz mellé telepíti a káros DLL‑t, amelyet DLL‑eltérítéssel indítanak runtime.exe néven. Ez az állomány 72 antivírus közül 29‑nél fennakad a szűrőn. A kártevő a %APPDATA%LocalEvelyn könyvtárba menti az ellopott adatokat: a futó folyamatokat, a vágólapot, Wi‑Fi‑adatokat, rendszerinformációkat, képernyőmentéseket, valamint a telepített programok listáját. A kártevő headless módban indítja el a Chrome‑ot és az Edge‑et, hogy elcsenje a sütiket és hozzáférjen a munkamenetekhez. Emellett a Phaser, a MetaMask, az Exodus és más kriptotárcák adataira is vadászik.
Gyors válasz: bővítmények eltávolítva
A Microsoft rövid időn belül eltávolította mindkét, kártevőt tartalmazó bővítményt a piactérről. A fejlesztőknek csak megbízható kiadóktól érdemes bővítményeket telepíteniük, ha nem szeretnének adatot veszíteni, vagy azt, hogy kár érje a kriptotárcájukat.
