O Google expulsou 49 extensões maliciosas do navegador Chrome da Web Store, que estavam se passando por carteiras de criptomoedas, a fim de drenar o conteúdo de carteiras de boa-fé.
As extensões foram descobertas por pesquisadores do MyCrypto – uma interface de código aberto para o blockchain que ajuda a armazenar, enviar e receber criptomoedas – e do PhishFort, que vende proteção anti-phishing.
Na terça-feira, Harry Denley, diretor de segurança do MyCrypto, disse que extensões maliciosas de navegadores não são novas, mas os alvos desta campanha são: elas incluem as carteiras de criptomoeda Ledger (57% das extensões ruins direcionadas a essa carteira, tornando-a mais alvo de todas as carteiras, por qualquer motivo), Trezor, Jaxx, Electrum, MyEtherWallet, MetaMask, Exodus e KeepKey.
Denley disse que, essencialmente, “as extensões são phishing de segredos”, incluindo frases mnemônicas dos usuários, chaves privadas e arquivos de armazenamento de chaves, que são arquivos de segurança usados para identificar desenvolvedores de aplicativos ou criptografia SSL.
Denley disse que, uma vez que um usuário digitou esses segredos, as extensões maliciosas enviaram uma solicitação HTTP POST ao back-end, que é onde os hackers colocam as mãos nos segredos e os usam para aspirar carteiras.
A maioria dos domínios é totalmente nova: 80% deles foram registrados em março e abril. O domínio mais antigo, ledger.productions, é o mais interconectado a outros servidores. Isso dá aos pesquisadores alguma indicação do mesmo kit de back-end ou dos mesmos hackers que executam a campanha na maioria das extensões.
Embora os pesquisadores não tenham perdido seus segredos para as extensões maliciosas, outros publicaram sobre a perda de fundos para as extensões no fórum de suporte do Chrome , Reddit e Toshi Times.
O Google varreu as extensões inúteis da loja do Chrome dentro de 24 horas após receber um alerta.
Não é a primeira vez
Em fevereiro, o Google retirou abruptamente 500 extensões do Chrome de sua Web Store depois que os pesquisadores descobriram que estavam roubando dados de navegação, realizando fraudes com cliques e exibindo publicidade maliciosa. As extensões se instalaram em milhões de computadores dos usuários.
Na época, nosso conselho era não assumir que, apenas porque uma extensão é hospedada em uma loja virtual, é seguro usá-lo. As extensões maliciosas que drenam as criptomoedas são apenas as últimas de uma longa série de exemplos. O melhor conselho:
- Instale o menor número possível de extensões e, apesar do acima, apenas nas lojas oficiais da web.
- Verifique as opiniões e os comentários de outras pessoas que instalaram a extensão.
- Preste atenção à reputação do desenvolvedor, como eles respondem às perguntas e com que frequência postam atualizações de versão.
- Estude as permissões solicitadas (no Chrome, Configurações > Extensões > Detalhes ) e verifique se estão de acordo com os recursos da extensão. Suspeite se as permissões mudarem.
Denley também teve outros conselhos úteis. Uma de suas dicas é considerar a criação de um usuário de navegador separado, usado exclusivamente para dados de criptomoeda, a fim de limitar sua superfície de ataque e separar seus perfis pessoais e de criptomoeda para aumentar a privacidade relacionada ao seu perfil de criptomoeda.
Traduzido e adaptado de: nakedsecurity.sophos.com