Un’estensione apparentemente innocua per prendere appunti nasconde un meccanismo progettato per sottrarre criptovalute. Si chiama Silent Swap e si presenta come una normale estensione Google Notes per browser basati su Chromium. L’allarme arriva dai ricercatori di McAfee, che hanno individuato nel software un malware capace di manipolare gli indirizzi dei portafogli digitali copiati dagli utenti.
La copertura è costruita per non destare sospetti. Una volta installata, l’estensione apre una piccola finestra nella quale è possibile scrivere e salvare note, assegnare loro un colore ed effettuare ricerche tra i contenuti archiviati. Le funzioni promesse sono quindi realmente disponibili, ma servono soprattutto a mascherare l’attività di furto di criptovalute eseguita in background. Le vittime possono imbattersi nel programma attraverso campagne di phishing, tecniche di social engineering oppure siti e forum poco affidabili.
Il funzionamento segue lo schema tipico di un clipboard jacker, una categoria di malware che sorveglia gli appunti del dispositivo. Silent Swap cerca sequenze apparentemente casuali composte da 26 a 42 caratteri alfanumerici, formato che può corrispondere all’indirizzo di un wallet crypto. Quando identifica una stringa compatibile, la sostituisce automaticamente con un indirizzo controllato dagli attaccanti.
La manipolazione emerge nel momento più delicato: quando la vittima incolla l’indirizzo nel proprio wallet per trasferire i fondi. Sullo schermo compare una sequenza plausibile, ma il destinatario effettivo è stato cambiato. L’attacco sfrutta una pratica quasi inevitabile nelle transazioni in criptovalute, perché gli indirizzi dei portafogli sono difficili da memorizzare e troppo complessi da digitare manualmente senza rischiare errori. Il ricorso al copia e incolla diventa così il punto d’ingresso dell’operazione fraudolenta.
Le conseguenze possono essere definitive. Dopo la conferma della transazione, i fondi trasferiti all’indirizzo dell’attaccante sono quasi certamente irrecuperabili. Un margine d’intervento può esistere quando l’invio parte da un exchange centralizzato, come Coinbase, e la vittima riconosce l’anomalia abbastanza rapidamente da chiedere al servizio di assistenza di congelare l’operazione. Negli altri casi, una volta completato il trasferimento, il denaro risulta perduto.
Anche i controlli più comuni possono offrire una protezione insufficiente. Molti utenti confrontano soltanto i primi e gli ultimi caratteri dell’indirizzo prima di autorizzare il pagamento. I ricercatori di sicurezza sconsigliano questa verifica parziale, perché alcuni clipboard jacker possono generare indirizzi che differiscono dall’originale solo in pochi punti. Una somiglianza visiva alle estremità della stringa non garantisce quindi che il destinatario sia quello previsto.
La difesa indicata consiste nel confrontare integralmente le stringhe prima di selezionare il comando di invio. Il controllo deve avvenire dopo avere incollato l’indirizzo nel wallet, verificando che ogni parte corrisponda a quella fornita dal destinatario. Sul fronte preventivo, la modalità di diffusione attribuita al malware richiama inoltre la necessità di valutare con cautela la provenienza delle estensioni del browser, soprattutto quando il download viene proposto attraverso messaggi, forum o portali non affidabili.
Silent Swap mostra come un’applicazione perfettamente funzionante in superficie possa essere utilizzata per rendere meno visibile un attacco. Le note salvate, i colori e la ricerca costruiscono una facciata credibile, mentre il malware concentra la propria azione su un singolo passaggio operativo. Per utenti e imprese che gestiscono asset digitali, la verifica completa dell’indirizzo prima della conferma resta l’ultimo controllo disponibile tra la sostituzione silenziosa della stringa e una transazione non reversibile.