Confira !!
Um extensãodo Google Chromefoi pega injetando um código de JavaScript em páginas da Web objetivando roubar as senhas e chaves privadas de carteiras de criptomoedas e portais de criptomoeda.
O extensão denominada Shitcoin Wallet (ID de extensão do Chrome: ckkgmccefffnbbalkmbbgebbojjogffn ) e essa extensão foi lançada no mês passado, em 9 de dezembro.
Segundo um post introdutório em um blog, a extensão Shitcoin Wallet permite que os usuários gerenciem as moedas Ether (ETH), mas também os tokens baseados no Ethereum ERC20 - que são os tokens geralmente emitidos para ICOs ( ofertas iniciais de moedas ).
Os usuários podem fazer a instalação no navegador Chrome e com ele gerenciar as moedas ETH e tokens ERC20 de dentro do navegador ou instalar um aplicativo de desktop do Windows, se quiserem gerenciar seus fundos fora do ambiente mais arriscado do navegador.
Repartindo o conteúdo malicioso
O aplicativo da carteira não éra o que ele prometia ser, no dia 31 de dezembro , o diretor de segurança da plataforma MyCrypto , Harry Danely descobriu que essa extensão continha um código malicioso.
De acordo com Danley, a extrensão é perigosa para os usuários de duas maneiras :
Primeiro, quaisquer fundos (moedas ETH e tokens baseados no ERC0) são gerenciados diretamente dentro da extensão e estão em risco. Pois Denley diz que a extensão envia as chaves privadas de todas as carteiras criadas ou gerenciadas por meio de sua interface para um site de terceiros localizado em erc20wallet [.] Tk .
Segundo, a extensão também injeta ativamente código JavaScript malicioso quando os usuários navegam para cinco plataformas de gerenciamento de criptomoedas conhecidas e populares. Esse código rouba credenciais de login e chaves privadas, dados que são enviados para o mesmo site de terceiros erc20wallet [.] Tk .
Segundo uma análise do código malicioso, o processo atua da seguinte mnaneira:
- Os usuários instalam a extensão do Chrome
- A extensão do Chrome solicita permissão para injetar código JavaScript (JS) em 77 sites [listados aqui ]
- Quando os usuários navegam para qualquer um desses 77 sites, a extensão carrega e injeta um arquivo JS adicional em: https: // erc20wallet [.] Tk / js / content_.js
- Este arquivo JS contém código ofuscado [desobstruído aqui ]
- O código ativa em cinco sites: MyEtherWallet.com , Idex.Market , Binance.org , NeoTracker.io , e Switcheo.exchange
- Uma vez ativado, o código JS malicioso registra as credenciais de logon do usuário, procura por chaves privadas armazenadas nos painéis dos cinco serviços e, finalmente, envia os dados para erc20wallet [.] Tk
Não ficou claro se a equipe do Shitcoin Wallet é a responsável pelo código malicioso ou se a extensão do Chrome foi comprometida por terceiros.
Na Web Store do Google a extensão já foi removida
Até a próxima !!
Nenhum comentário:
Postar um comentário