FERRAMENTAS LINUX: Uma extensão do Chrome foi flagrada roubando as chaves privadas de carteira criptográfica

quinta-feira, 2 de janeiro de 2020

Uma extensão do Chrome foi flagrada roubando as chaves privadas de carteira criptográfica


Confira !!



Um extensãodo Google Chromefoi pega injetando um código de JavaScript em páginas da Web objetivando roubar as senhas e chaves privadas de carteiras de criptomoedas e portais de criptomoeda.

O extensão denominada Shitcoin Wallet (ID de extensão do Chrome: ckkgmccefffnbbalkmbbgebbojjogffn ) e essa extensão foi lançada no mês passado, em 9 de dezembro.

Segundo um post introdutório em um blog, a extensão Shitcoin Wallet  permite que os usuários gerenciem as moedas  Ether (ETH), mas também os tokens baseados no Ethereum ERC20 -  que são os tokens geralmente emitidos para ICOs ( ofertas iniciais de moedas ).

Os usuários podem fazer a instalação no navegador Chrome e com ele gerenciar as moedas ETH e tokens ERC20 de dentro do navegador ou instalar um aplicativo de desktop do Windows, se quiserem gerenciar seus fundos fora do ambiente mais arriscado do navegador.


Repartindo o conteúdo malicioso

O aplicativo da carteira não éra o que ele prometia ser, no dia 31 de dezembro , o diretor de segurança da plataforma MyCrypto , Harry Danely descobriu que essa extensão continha um código malicioso.

De acordo com Danley, a extrensão é perigosa para os usuários de duas maneiras :

Primeiro, quaisquer fundos (moedas ETH e tokens baseados no ERC0) são gerenciados diretamente dentro da extensão e estão em risco. Pois Denley diz que a extensão envia as chaves privadas de todas as carteiras criadas ou gerenciadas por meio de sua interface para um site de terceiros localizado em erc20wallet [.] Tk .

Segundo, a extensão também injeta ativamente código JavaScript malicioso quando os usuários navegam para cinco plataformas de gerenciamento de criptomoedas conhecidas e populares. Esse código rouba credenciais de login e chaves privadas, dados que são enviados para o mesmo site de terceiros erc20wallet [.] Tk .


Segundo uma análise do código malicioso, o processo atua da seguinte mnaneira:


  • Os usuários instalam a extensão do Chrome
  • A extensão do Chrome solicita permissão para injetar código JavaScript (JS) em 77 sites [listados aqui ]
  • Quando os usuários navegam para qualquer um desses 77 sites, a extensão carrega e injeta um arquivo JS adicional em: https: // erc20wallet [.] Tk / js / content_.js
  • Este arquivo JS contém código ofuscado [desobstruído aqui ]
  • O código ativa em cinco sites: MyEtherWallet.com , Idex.Market , Binance.org , NeoTracker.io , e Switcheo.exchange
  • Uma vez ativado, o código JS malicioso registra as credenciais de logon do usuário, procura por chaves privadas armazenadas nos painéis dos cinco serviços e, finalmente, envia os dados para erc20wallet [.] Tk

Não ficou claro se a equipe do Shitcoin Wallet é a responsável pelo código malicioso ou se a extensão do Chrome foi comprometida por terceiros. 


Na Web Store do Google a extensão já foi removida 

Até a próxima !!

Nenhum comentário:

Postar um comentário