McAfee Labs повідомила про кампанію Silent Swap: шкідливий інсталятор додає у Chromium-браузери фейкове розширення “Google Notes” і підміняє адреси криптогаманців у буфері обміну. Через це переказ може виглядати звичайно, але після вставлення адреса отримувача вже буде замінена на адресу зловмисника.
За даними McAfee, це не звичайне встановлення з магазину розширень. Кампанія використовує непідписані інсталятори, зокрема .NET і Golang варіанти, які змінюють файли профілю Chromium-браузера. Тому користувачам Chrome, Edge, Brave, Vivaldi та схожих браузерів варто перевірити не лише список розширень, а й ознаки примусового завантаження розширення.
Як працює Silent Swap
Інсталятор шукає профілі Chromium-браузерів, завершує процеси браузера та змінює файли Secure Preferences і Preferences, щоб розширення завантажувалося як легітимне. McAfee також описує EtherHiding-підхід, коли дані блокчейну використовуються як спосіб отримати актуальну адресу керуючого сервера.
| Назва загрози | Silent Swap crypto clipper |
| Маскування | Фейкове розширення “Google Notes” |
| Ціль | Скопійовані адреси криптовалютних гаманців |
| Де перевіряти | Chrome, Edge, Brave, Vivaldi, Opera та інші Chromium-браузери |
| Головний ризик | Кошти можуть піти на гаманець зловмисника після підміни адреси |
Кому варто перевірити браузер
Перевірте систему, якщо нещодавно запускали непідписаний інсталятор нотатника, розширення, криптоінструмента, VPN або “корисної” утиліти, а потім копіювали адреси гаманців на цьому ж комп’ютері. Також зверніть увагу на розширення, які з’явилися без звичного встановлення, неочікувано увімкнений режим розробника або випадки, коли вставлена адреса не збігається зі скопійованою.
Якщо проблема схожа на ширшу історію з небезпечними розширеннями, прочитайте пояснення чому безкоштовні розширення браузера можуть бути небезпечними. Якщо головний симптом – підміна криптоадрес після запуску файлів або ярликів, порівняйте це з патерном CryptoBandits.A та прикладами з Aviator Predictor Malware.
Що зробити зараз
- Призупиніть криптоперекази з ураженого комп’ютера. Перевіряйте адресу отримувача на чистому пристрої перед відправленням.
- Відкрийте кожен Chromium-браузер і перегляньте розширення. Видаліть “Google Notes” або будь-яке розширення, яке ви не встановлювали навмисно.
- Вимкніть режим розробника, якщо ви його не вмикали самі, перезапустіть браузер і перевірте, чи не повертається розширення.
- Перевірте синхронізацію браузера. Якщо розширення синхронізувалося через обліковий запис, видаліть його там і перегляньте інші пристрої.
- Перевірте автозапуск Windows, Планувальник завдань, нещодавні завантаження та папки профілів браузера на невідомі файли, пов’язані з часом встановлення.
- Якщо під час активності розширення ви копіювали seed-фрази, паролі, API-ключі або коди автентифікації, змініть їх з чистого пристрою.
Якщо інсталятор уже запускався або розширення повертається після видалення, виконайте повне сканування Gridinsoft Anti-Malware перед подальшою роботою з криптовалютами. Видиме розширення може бути лише частиною ланцюга; інсталятор, завдання у Планувальнику, політика браузера або прихований елемент автозапуску можуть відновити моніторинг буфера обміну.
Завантажте Gridinsoft Anti-Malware з офіційної сторінки gridinsoft.ua/antimalware/, запустіть повне сканування, видаліть знайдені загрози, перезавантажте ПК і повторіть перевірку, якщо розширення або підміна адрес повертаються.
Чого не варто припускати
Не вважайте переказ безпечним лише тому, що адреса виглядала правильно перед копіюванням. Кліпери працюють між копіюванням і вставленням. Також не вважайте браузер чистим після одноразового видалення розширення, адже Silent Swap описують саме як ланцюг із примусовим завантаженням розширення поза нормальним магазинним процесом.
FAQ
Google Notes – це справжнє розширення Google?
У цій кампанії назву “Google Notes” використали як маскування. Будь-яке неочікуване розширення з такою назвою потрібно вважати підозрілим, доки ви не перевірите його джерело.
Чи може Silent Swap вкрасти кошти без пароля від гаманця?
Так. Криптокліпер може замінити адресу отримувача під час вставлення. Якщо ви підтвердите транзакцію, кошти можуть піти на адресу зловмисника навіть без прямого викрадення пароля.
Які браузери потрібно перевірити?
McAfee описує втручання у профілі Chromium, тому насамперед перевірте Chrome, Edge, Brave, Vivaldi, Opera та інші Chromium-браузери.
Чи потрібно змінювати паролі після видалення розширення?
Так, якщо під час активності розширення ви копіювали паролі, seed-фрази, API-ключі або коди входу. Робіть це з чистого пристрою.
Джерела
- McAfee Labs / Neil Tyagi. “Crypto Clipper: Wallet Swapping Browser Extension Malware.” McAfee Labs, 30 червня 2026, дата звернення: 30 червня 2026. https://www.mcafee.com/blogs/other-blogs/mcafee-labs/crypto-clipper-wallet-swapping-browser-extension-malware/
- Socket / Kirill Boychenko and Kush Pandya. “Chrome and Firefox Extensions Posing as Free VPNs Add Clipboard Stealers.” Socket, 30 червня 2026, дата звернення: 30 червня 2026. https://socket.dev/blog/chrome-and-firefox-extensions-free-vpns-add-clipboard-stealers
