Расширение для Chrome внедряет код, который позволяет красть пароли криптовалютных кошельков

Candellmans

Команда форума
Сообщения
4,046
Реакции
6,552
Баллы
473
Расширение для Chrome внедряет код, который позволяет красть пароли криптовалютных кошельков

3.01.20
Глава безопасности платформы MyCrypto Гарри Дэнли сообщил, что расширение для Google Chrome под названием Shitcoin Wallet внедряет в веб-страницы JavaScript-код, позволяющий воровать пароли и закрытые ключи от криптовалютных кошельков и сервисов.
1578071366789.png

Разработка Shitcoin Wallet же утверждает, что оно дает возможность управлять цифровой валютой Ether (ETH и токенами Ethereum ERC20 прямо из браузера.

Аддон Shitcoin Wallet появился 9 декабря. Расширение получило идентификатор ckkgmccefffnbbalkmbbgebbojjogffn.

По словам Дэнли, расширение представляет опасность, так как все доверенные ему средства могут быть украдены, при этом в посещаемые веб-страницы внедряется код JavaScript, а закрытые ключи всех кошельков отправляются на сторонний ресурс по адресу erc20wallet[.]tk.

harrydenley.eth ◊
@sniko_
⚠ A browser crypto wallet is injecting malicious JS to steal secrets from @myetherwallet @idexio @binance @neotrackerio @SwitcheoNetwork

Extension-native wallet create also sends secrets to their backend!

Bad guys: erc20wallet[.]tk
ExtensionID: ckkgmccefffnbbalkmbbgebbojjogffn

View image on TwitterView image on Twitter
65
5:47 AM - Dec 31, 2019
Twitter Ads info and privacy
34 people are talking about this
Когда пользователь посещает сайты известных сервисов для управления криптовалютой, код ворует его учетные данные и закрытые ключи и также передает их стороннему ресурсу.

Согласно анализу вредоносного кода, процесс идет следующим образом:

пользователи устанавливают расширение Chrome;

расширение запрашивает разрешение на внедрение кода JavaScript (JS) на 77 веб-сайтах;
когда пользователи переходят на любой из этих 77 сайтов, расширение загружает и добавляет дополнительный JS-файл из: https: // erc20wallet [.] Tk / js / content_.js, этот JS-файл содержит запутанный код;

код активируется на пяти веб-сайтах: MyEtherWallet.com, Idex.Market, Binance.org, NeoTracker.io и Switcheo.exchange;

после активации вредоносный код JS записывает учетные данные пользователя для входа в систему, ищет закрытые ключи, хранящиеся на панелях управления пяти служб, и, наконец, отправляет данные в erc20wallet [.]tk.

Пока команда Shitcoin Wallet не ответила на запрос СМИ, и остается неясным, виновата ли разработка, либо расширение используют злоумышленники со стороны.

 
Последнее редактирование:
Сверху Снизу