Extensión de Chrome atrapada robando claves privadas de crypto-wallet


Se descubrió que una extensión de Google Chrome inyectaba código JavaScript en páginas world-wide-web para robar contraseñas y claves privadas de billeteras de criptomonedas y portales de criptomonedas.

La extensión se llama Shitcoin Wallet (ID de extensión de Chrome: ckkgmccefffnbbalkmbbgebbojjogffn), y se lanzó el mes pasado, el 9 de diciembre.

De acuerdo con un entrada de website introductoria, Shitcoin Wallet permite a los usuarios administrar monedas Ether (ETH), pero también tokens basados ​​en Ethereum ERC20, tokens generalmente emitidos para ICO (ofertas iniciales de monedas)

Los usuarios pueden instalar la extensión de Chrome y administrar monedas ETH y tokens ERC20 desde su navegador, o pueden instalar una aplicación de escritorio de Windows, si desean administrar sus fondos desde fuera del entorno más riesgoso de un navegador.

Desglose de comportamiento malicioso

Sin embargo, la aplicación de billetera no era lo que prometía ser. Ayer, Harry Denley, Director de Seguridad en el Plataforma MyCrypto, descubrió que la extensión contenía código malicioso.

Según Denley, la extensión es peligrosa para los usuarios de dos maneras. Primero, cualquier fondo (monedas ETH y tokens basados ​​en ERC0) administrados directamente dentro de la extensión está en riesgo.

Denley dice que la extensión envía las claves privadas de todas las billeteras creadas o administradas a través de su interfaz a un sitio world-wide-web de terceros ubicado en erc20wallet (.) tk.

shitcoin-wallet.png

En segundo lugar, la extensión también inyecta activamente código JavaScript malicioso cuando los usuarios navegan a cinco plataformas de gestión de criptomonedas conocidas y populares. Este código roba credenciales de inicio de sesión y claves privadas, datos que se envían a la misma erc20wallet (.) tk sitio world wide web de terceros.

Según un análisis del código malicioso, el proceso es el siguiente:

  • Los usuarios instalan la extensión de Chrome
  • La extensión de Chrome solicita permiso para inyectar código JavaScript (JS) en 77 sitios internet (enumerados aquí)
  • Cuando los usuarios navegan a cualquiera de estos 77 sitios, la extensión se carga e inyecta un archivo JS adicional desde: https: // erc20wallet (.) tk / js / material_.js
  • Este archivo JS contiene código ofuscado (desobuscado aquí)
  • El código se activa en cinco sitios web: MyEtherWallet.com, Idex.Current market, Binance.org, NeoTracker.io, y Switcheo.exchange
  • Una vez activado, el código JS malicioso registra las credenciales de inicio de sesión del usuario, busca claves privadas almacenadas dentro de los paneles de los cinco servicios y, finalmente, envía los datos a erc20wallet (.) tk

En el momento de escribir este artículo, la extensión todavía estaba disponible para su descarga a través de la tienda web oficial de Google Chrome, donde figuraba 625 instalaciones.

No está claro si el equipo de Shitcoin Wallet es responsable del código malicioso o si la extensión de Chrome fue comprometida por un tercero. Un portavoz del equipo de Shitcoin Wallet no respondió a una solicitud de comentarios antes de la publicación de este artículo.

Aplicación de escritorio

En el sitio world-wide-web oficial de la extensión, 32 bits y 64 bits los instaladores también se pusieron a disposición de los usuarios.

Los escaneos con VirusTotal, un sitio internet que agrega los motores de escaneo de virus de varios fabricantes de computer software antivirus, muestran ambos archivos como limpios.

Sin embargo, numerosos comentarios publicados en el canal Telegram de la billetera sugieren que las aplicaciones de escritorio podrían contener un código malicioso related, si no peor.

shitcoin-wallet-telegram.png "src =" https://zdnet2.cbsistatic.com/hub/i/2020/01/01/8fbe2963-638f-4493-a01a-ce070f975946/shitcoin-wallet-telegram.png

Imagen: ZDNet



Enlace a la noticia initial