Google выкинул 49 вредоносных расширений браузера
Chrome из своего интернет-магазина, которые выдавали себя за кошельки
криптовалюты, чтобы истощить содержимое добросовестных кошельков.
Расширения были обнаружены исследователями из
MyCrypto - интерфейс с открытым исходным кодом для блокчейна, который помогает
хранить, отправлять и получать криптовалюту - и от PhishFort, который продает
защиту от фишинга.
Во вторник Гарри Денли, директор по безопасности
MyCrypto, заявил, что расширения вредоносных браузеров не новы, но цели в этой
кампании: они включают в себя кошельки криптовалюты Ledger (57% плохих
расширений предназначались для этого кошелька, сделав его самым целевым из всех
кошельков, по любой причине), Trezor, Jaxx, Electrum, MyEtherWallet, MetaMask,
Exodus и KeepKey.
Денли сказал, что, по сути, «расширения - это фишинг
для секретов», включая мнемонические фразы пользователей, личные ключи и файлы
хранилища ключей, файлы безопасности,
используемые для идентификации разработчиков приложений или для шифрования SSL.
Денли сказал, что, как только пользователь вводит
конфиденциальную информацию , злонамеренные расширения отправляют HTTP-запрос
POST бэкэнду, где злоумышленники получают её и используют, чтобы очистить
кошельки. MyCrypt идентифицировал 14 уникальных командно-контрольных серверов
(C2), получающих данные от взломанных систем. После анализа отпечатков пальцев
на серверах исследователи обнаружили, что некоторые из них были связаны между
собой. Это означает, что у них, вероятно, были общие разработчики, тянущие
рычаги нескольких серверов. В то время как некоторые из них отправляли
фишированные данные обратно в форму GoogleDocs, большинство из них размещали
свой собственный бэкэнд с пользовательскими сценариями PHP, сказал Денли.
Список серверов вы можете посмотреть
здесь на его посту.
Большинство доменов совершенно новые: 80% из них
были зарегистрированы в марте и апреле. Самый старый домен, ledger.productions,
является наиболее взаимосвязанным с другими серверами. Это дает исследователям
некоторое представление о том же бэкэнд-наборе или о тех же владельцах, которые
проводят кампанию для большинства расширений.
MyCrypt опубликовал следующее видео, чтобы показать,
как работает вредоносное расширение для пользователей MyEtherWallet.
Денли сказал, что процесс имитирует типичный опыт MyEtherWallet, пока пользователь не
введет свою информацию . Вредоносное приложение отправляет их обратно в C2s, затем направляет пользователя
обратно в представление по умолчанию, а затем ничего не делает.
Это приводит либо к разочарованному пользователю,
который снова передает свои секреты, или, возможно, даже подпитывает
вредоносные программы новыми секретами; или пользователь удаляет расширение и
забывает о нем, пока его кошелек не будет высушен. Денли сказал, что
«опустошенный» результат может произойти только после того, как расширение
будет удалено из магазина, а это означает, что обманутый пользователь не может
выяснить, где была его дыра в безопасности.
Некоторые из этих неприятных расширений были оценены сетью фальшивых
рецензентов, выдающих поддельные 5-звездочные отзывы. Обзоры были краткими и
некачественными, такими как «хорошее», «полезное приложение» или «законное
расширение».
Денли говорит, что одно расширение - MyEtherWallet - имело ту же «копию»,
с одним и тем же обзором, опубликованным около 8 раз и предположительно
написанным разными пользователями. Во всех обзорах рассказывалось о том, что
такое Биткойн, и объяснялось, почему (злонамеренный) MyEtherWallet был их предпочтительным
расширением для браузера.
Исследователи отправили средства на несколько
адресов и передали секреты вредоносным расширениям. Однако они не были
автоматически просмотрены, возможно, потому, что их разработчики интересуются
только ценными учетными записями, или, возможно, потому, что им приходится
сканировать учетные записи вручную.
Хотя исследователи не потеряли свои «секреты» от
вредоносных расширений, другие опубликовали сообщения о потере средств для
расширений на форуме
поддержки Chrome, Reddit и Toshi Times.
Google
выкинул мусорные расширения из магазина Chrome в течение 24 часов после получения
хедз-апа.
Не в первый раз
В феврале Google внезапно вытащил
500 расширений Chrome
из своего интернет-магазина после того, как исследователи обнаружили, что они
крадут данные о просмотрах, скрывают мошенничество с кликами и распространяют
вредоносную рекламу. Расширения были установлены на миллионы компьютеров
пользователей.
В то время наш совет не предполагал, что просто
потому, что расширение размещено в официальном интернет-магазине, его можно
использовать безопасно. Вредоносные расширения, истощающие криптовалюту,
являются лишь последним из длинной цепочки примеров.
Установите как можно меньше расширений и, несмотря
на вышесказанное, только из официальных интернет-магазинов. Проверьте отзывы и
отзывы от тех, кто установил расширение.
Обратите внимание на репутацию разработчика,
насколько он отзывчив на вопросы и как часто они публикуют обновления версий.
Изучите запрашиваемые разрешения (в Chrome, Настройки> Расширения>
Детали) и убедитесь, что они соответствуют функциям расширения. Будьте
подозрительны, если разрешения меняются.
Один из советов Денли - рассмотреть возможность
создания отдельного пользователя браузера, который вы используете исключительно
для данных криптовалюты, чтобы ограничить поверхность атаки, и для разделения
ваших личных профилей и профилей криптовалюты, чтобы повысить конфиденциальность,
связанную с вашим профилем криптовалюты.
Комментариев нет:
Отправить комментарий