49 extensões maliciosas do Chrome roubando Bitcoin e outras criptomoedas

49 extensões maliciosas do Chrome roubando Bitcoin e outras criptomoedas

O Google expulsou 49 extensões maliciosas do navegador Chrome da Web Store, que estavam se passando por carteiras de criptomoedas, a fim de drenar o conteúdo de carteiras de boa-fé.

As extensões foram descobertas por pesquisadores do MyCrypto – uma interface de código aberto para o blockchain que ajuda a armazenar, enviar e receber criptomoedas – e do PhishFort, que vende proteção anti-phishing.

Na terça-feira, Harry Denley, diretor de segurança do MyCrypto, disse que extensões maliciosas de navegadores não são novas, mas os alvos desta campanha são: elas incluem as carteiras de criptomoeda Ledger (57% das extensões ruins direcionadas a essa carteira, tornando-a mais alvo de todas as carteiras, por qualquer motivo), Trezor, Jaxx, Electrum, MyEtherWallet, MetaMask, Exodus e KeepKey.

Denley disse que, essencialmente, “as extensões são phishing de segredos”, incluindo frases mnemônicas dos usuários, chaves privadas e arquivos de armazenamento de chaves, que são arquivos de segurança usados ​​para identificar desenvolvedores de aplicativos ou criptografia SSL.

Denley disse que, uma vez que um usuário digitou esses segredos, as extensões maliciosas enviaram uma solicitação HTTP POST ao back-end, que é onde os hackers colocam as mãos nos segredos e os usam para aspirar carteiras.

A maioria dos domínios é totalmente nova: 80% deles foram registrados em março e abril. O domínio mais antigo, ledger.productions, é o mais interconectado a outros servidores. Isso dá aos pesquisadores alguma indicação do mesmo kit de back-end ou dos mesmos hackers que executam a campanha na maioria das extensões.

Embora os pesquisadores não tenham perdido seus segredos para as extensões maliciosas, outros publicaram  sobre a perda de fundos para as extensões no fórum de suporte do Chrome , Reddit e Toshi Times.

O Google varreu as extensões inúteis da loja do Chrome dentro de 24 horas após receber um alerta.

49 extensões maliciosas do Chrome roubando Bitcoin e outras criptomoedas
49 extensões maliciosas do Chrome roubando Bitcoin e outras criptomoedas.

Não é a primeira vez

Em fevereiro, o Google retirou abruptamente 500 extensões do Chrome de sua Web Store depois que os pesquisadores descobriram que estavam roubando dados de navegação, realizando fraudes com cliques e exibindo publicidade maliciosa. As extensões se instalaram em milhões de computadores dos usuários.

Na época, nosso conselho era não assumir que, apenas porque uma extensão é hospedada em uma loja virtual, é seguro usá-lo. As extensões maliciosas que drenam as criptomoedas são apenas as últimas de uma longa série de exemplos. O melhor conselho:

  • Instale o menor número possível de extensões e, apesar do acima, apenas nas lojas oficiais da web.
  • Verifique as opiniões e os comentários de outras pessoas que instalaram a extensão.
  • Preste atenção à reputação do desenvolvedor, como eles respondem às perguntas e com que frequência postam atualizações de versão.
  • Estude as permissões solicitadas (no Chrome, Configurações > Extensões > Detalhes ) e verifique se estão de acordo com os recursos da extensão. Suspeite se as permissões mudarem.

Denley também teve outros conselhos úteis. Uma de suas dicas é considerar a criação de um usuário de navegador separado, usado exclusivamente para dados de criptomoeda, a fim de limitar sua superfície de ataque e separar seus perfis pessoais e de criptomoeda para aumentar a privacidade relacionada ao seu perfil de criptomoeda.

Traduzido e adaptado de: nakedsecurity.sophos.com

Compartilhe este post

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on whatsapp
WhatsApp

Deixe um comentário