Phishing de extensiones de Chrome

El auge del phishing de extensiones de Chrome

Esta investigación fue realizada por MyCrypto y PhishFort

PhishFort lanzó recientemente un servicio de monitoreo y eliminación de extensiones como parte de nuestro paquete integral de protección contra phishing que incluye redes sociales, sitios web, dominios, aplicaciones móviles y eliminaciones. Esto se debió a una investigación realizada junto con MyCrypto sobre ataques de phishing entregados a través de las extensiones del navegador Chrome.

Motivación y propósito

Vigilamos el tipo de ataques que llegan a los usuarios de criptomonedas a diario y, a menudo, escribimos sobre nuestros hallazgos para ayudar a educar a la comunidad. Hemos visto varios tipos de ataques a los usuarios, que van desde simples estafas de comercio a SIM hijacking hasta comprometer y robar fondos de cuentas de intercambio.

Un ejemplo de una extensión maliciosa que se envía a través de Google Ads

Recientemente, nos encontramos con grandes campañas que ofrecen extensiones de navegador falsas a los usuarios y se orientan a marcas conocidas a través de Google Ads y otros canales. Si bien este no es un nuevo vector de ataque, y ya hemos escrito sobre extensiones de navegador maliciosas antes, las marcas objetivo son nuevas.

Los objetivos de la investigación son:

  • Educar a "usuarios habituales" sobre los diferentes vectores de ataque.
  • Informar cuando exista una gran campaña para concientizar a la gente.
  • Proporcionar ejemplos de ataques de la vida real a "usuarios habituales" para que puedan aplicar controles de seguridad en sus activos.
  • Ayudar a eliminar la infraestructura de aquellas campañas de scam detectadas.
  • Reunir inteligencia para generar herramientas personalizadas que ayuden a detectar amenazas antes de que la víctima caiga.

Visión general

Hemos encontrado una variedad de extensiones dirigidas a marcas y usuarios de criptomonedas. Si bien todas las extensiones funcionan igual, la marca es diferente según el usuario al que se dirigen. Básicamente, las extensiones están buscando secretos: frases mnemónicas, claves privadas y archivos de almacén de claves. Una vez que el usuario los ha ingresado, la extensión envía una solicitud HTTP POST a su backend, donde los estafadores reciben los secretos y vacían las cuentas.

Hemos identificado 14 C2 únicos (también conocidos como servidores de comando y control que continúan comunicándose con el sistema comprometido). Pero al usar el análisis de huellas digitales, podemos vincular C2 específicos entre sí para concluir cuál de los kits de phishing tienen el mismo problema/estafador detrás de ellos. Algunos kits enviaron los datos de suplantación de identidad a un formulario de GoogleDocs. Sin embargo, la mayoría alojaba su propio backend con scripts PHP personalizados. Los C2 identificados son:


  • analytics-server296.xyz
  • coinomibeta.online
  • completssl.com
  • cxext.org
  • ledger.productions
  • ledgerwallet.xyz
  • mecxanalytic.co
  • networkforworking.com
  • trxsecuredapi.co
  • usermetrica.org
  • walletbalance.org
  • ledgers.tech
  • vh368451.eurodir.ru
  • xrpclaim.net

Si bien algunos de los dominios son relativamente antiguos, el 80% de los C2 se registraron en marzo y abril de 2020 (una división uniforme). El dominio más antiguo (ledger.productions) tiene la mayor cantidad de "conexiones" con otros C2 en términos de huellas digitales, por lo que tenemos alguna indicación del mismo kit de backend (o los mismos actores detrás de este) para la mayoría de las extensiones.

También hemos inspeccionado algunos de los otros C2 en busca de archivos de registro comunes, y aunque la mayoría de ellos no los tenían disponibles en la web root, algunos emitían 403, había uno que pertenecía a trxsecuredapi.co que brindaba una pequeña información (si lo tomamos todo al pie de la letra):

  • El servidor utilizado para este C2 es trxsqdmn
  • El correo electrónico del administrador sigue esta máscara: "b - 0 @ r - r.ru": indica potencialmente actores con sede en Rusia
  • El primer registro fue el 29 de marzo de 2020 10:43:14 America / New_York
  • El C2 aloja archivos distintos a los que se utilizan para recopilar secretos de phishing

A continuación se muestra un video de cómo funciona una extensión maliciosa dirigida a los usuarios de MyEtherWallet. Se ve igual que la experiencia típica de MyEtherWallet hasta que ingrese sus secretos. Una vez que los ha enviado, la aplicación maliciosa envía sus secretos de vuelta al servidor controlado por los estafadores antes de devolverlo a la vista predeterminada, y luego no hace nada, lo que da como resultado:


  • Un usuario se frustra y vuelve a enviar secretos (tal vez incluso diferentes)
  • Un usuario que desinstala la extensión y se olvida de las ramificaciones de escribir sus secretos hasta que se agota los fondos de su billetera, lo que probablemente ocurrirá después de que la extensión se elimine de la tienda para que no pueda investigar dónde estaba su agujero de seguridad.



Algunas de las extensiones han tenido una red de usuarios falsos que califican la aplicación con 5 estrellas y brindan comentarios positivos sobre la extensión para parecer más atractiva. La mayoría de los comentarios positivos de los malos actores fueron de baja calidad, como "buena", "aplicación útil" o "extensión legítima". Una extensión se destacó por tener el mismo "copypaste" alrededor de 8 veces, escrito por diferentes usuarios, compartiendo una introducción sobre lo que es Bitcoin y explicando por qué MyEtherWallet [malicioso] era su extensión de navegador preferida (Nota: MEW no es compatible con Bitcoin ).


También había una red de usuarios atentos que escribían reseñas legítimas acerca de que las extensiones eran maliciosas; sin embargo, es difícil decir si ellos mismos fueron víctimas de las estafas de phishing, o simplemente ayudaron a la comunidad a no descargar.


Un collage de reseñas sobre varias extensiones maliciosas

Google Webstore tiene una sección de informes y hemos eliminado las extensiones en 24 horas.

Un análisis de nuestro conjunto de datos sugiere que las extensiones maliciosas comenzaron a llegar a la tienda lentamente en febrero de 2020, aumentaron las versiones hasta marzo de 2020 y luego lanzaron rápidamente más extensiones en abril de 2020.


  • Febrero de 2020: 2.04% se publicaron en este mes a partir de nuestro conjunto de datos
  • Marzo de 2020: el 34,69% se publicó en este mes a partir de nuestro conjunto de datos
  • Abril de 2020: el 63,26% se publicó en este mes a partir de nuestro conjunto de datos

Esto significa que nuestra detección está mejorando mucho o que la cantidad de extensiones maliciosas que llegan a las tiendas del navegador para apuntar a los usuarios de criptomonedas está creciendo exponencialmente.

Un análisis de nuestro conjunto de datos sugiere que Ledger es la marca más atacada; sin especular, es difícil decir por qué. Ledger representó el 57% de los ataques que se descubrieron.

¿Donde fueron los fondos robados?

Enviamos fondos a algunas direcciones y enviamos los secretos a las extensiones maliciosas. Sin embargo, no fueron barridos automáticamente. Esto podría deberse a un par de razones:

  • A los estafadores solo les interesan las cuentas de alto valor
  • Los estafadores tienen que barrer las cuentas manualmente

Aunque nuestras direcciones no fueron barridas, ha habido informes públicos de usuarios sobre la pérdida de fondos por extensiones de navegador maliciosas:

Si usted sospecha que se ha convertido en víctima de una extensión de navegador maliciosa, presente un informe en https://cryptoscamdb.org/report/.

¿Cómo puedo mantenerme a salvo?

Si bien existen muchos vectores de ataque diferentes para los usuarios de criptomonedas cotidianos que no se limitan a las extensiones de navegador maliciosas, lo siguiente abordará solo las extensiones de navegador maliciosas.

Soy un usuario diario de criptomonedas.


  • Familiaricese con los permisos que tiene cada una de las extensiones de su navegador yendo a chrome: // extensions / y haciendo clic en la pestaña "Detalles" de cada extensión.
  • Comprenda los riesgos asociados con cada permiso.
  • Considere eliminar la extensión si tiene permisos que cree que están fuera del alcance del uso de la extensión.
  • Limite las extensiones para que solo se ejecuten en ciertos dominios o cuando haga clic en el icono de extensión en la esquina superior derecha de su navegador.
  • LEA: Un anti-cryptominer falso dirigido a los dominios MyEtherWallet [.] Com y Blockchain [.] Com - https://medium.com/mycrypto/hunting-huobi-scams-662256d76720.
  • LEA: Una extensión de devolución de dinero falsa dirigida a los intercambios de criptomonedas populares: https://medium.com/mycrypto/the-dangers-of-malicious-browser-extensions-ef9c10f0128f.
  • Considere la posibilidad de crear un usuario de navegador separado que utilice únicamente para datos de criptomonedas; esto limitará el alcance de cualquier superficie de ataque y una separación de preocupaciones (perfiles personales y de criptomonedas), aumentando la privacidad relacionada con su perfil de criptomonedas.

Soy un equipo / empresa que brinda una solución a los usuarios cotidianos.

  • Considere monitorear las tiendas de extensiones del navegador si su producto cumple con los criterios que hemos visto como objetivo, ya sea mediante el monitoreo interno o asociándose con un tercero que investigará y eliminará estas extensiones en su nombre. PhishFort ofrece este servicio. Si cree que podemos ayudarlo, comuníquese con nosotros.
  • Recuerde y obligue a los usuarios a mantener a salvo con sus secretos.
  • Reduzca el uso de secretos en bruto (frases mnemotécnicas, archivos de almacén de claves, claves privadas) con su producto y promueva otros mecanismos de firma.
  • Cree una lista pública de todos sus productos y enlaces para que los usuarios tengan una fuente confiable de información confiable.

IOCS

Extension IDs:
afephhbbcdlgdehhddfnehfndnkfbgnm
agfjbfkpehcnceblmdahjaejpnnnkjdn
ahikdohkiedoomaklnohgdnmfcmbabcn
ahlfiinafajfmciaajgophipcfholmeh
akglkgdiggmkilkhejagginkngocbpbj
anihmmejabpaocacmeodiapbhpholaom
bhkcgfbaokmhglgipbppoobmoblcomhh
bkanfnnhokogflpnhnbfjdhbjdlgncdi
bpfdhglfmfepjhgnhnmclbfiknjnfblb
bpklfenmjhcjlocdicfadpfppcgojfjp
ckelhijilmmlmnaljmjpigfopkmfkoeh
dbcfhcelmjepboabieglhjejeolaopdl
dbcfokmgampdedgcefjahloodbgakkpl
ddohdfnenhipnhnbbfifknnhaomihcip
dehindejipifeaikcgbkdijgkbjliojc
dkhcmjfipgoapjamnngolidbcakpdhgf
effhjobodhmkbgfpgcdabfnjlnphakhb
egpnofbhgafhbkapdhedimohmainbiio
ehlgimmlmmcocemjadeafmohiplmgmei
epphnioigompfjaknnaokghgcncnjfbe
gbbpilgcdcmfppjkdociebhmcnbfbmod
glmbceclkhkaebcadgmbcjihllcnpmjh
gpffceikmehgifkjjginoibpceadefih
idnelecdpebmbpnmambnpcjogingdfco
ifceimlckdanenfkfoomccpcpemphlbg
ifmkfoeijeemajoodjfoagpbejmmnkhm
igkljanmhbnhedgkmgpkcgpjmociceim
ijhakgidfnlallpobldpbhandllbeobg
ijohicfhndicpnmkaldafhbecijhdikd
jbfponbaiamgjmfpfghcjjhddjdjdpna
jfamimfejiccpbnghhjfcibhkgblmiml
jlaaidmjgpgfkhehcljmeckhlaibgaol
kjnmimfgphmcppjhombdhhegpjphpiol
lfaahmcgahoalphllknbfcckggddoffj
mcbcknmlpfkbpogpnfcimfgdmchchmmg
mciddpldhpdpibckghnaoidpolnmighk
mjbimaghobnkobfefccnnnjedoefbafl
mnbhnjecaofgddbldmppbbdlokappkgk
nicmhgecboifljcnbbjlajbpagmhcclp
njhfmnfcoffkdjbgpannpgifnbgdihkl
noilkpnilphojpjaimfcnldblelgllaa
obcfoaeoidokjbaokikamaljjlpebofe
oejafikjmfmejaafjjkoeejjpdfkdkpc
ogaclpidpghafcnbchgpbigfegdbdikj
opmelhjohnmenjibglddlpmbpbocohck
pbilbjpkfbfbackdcejdmhdfgeldakkn
pcmdfnnipgpilomfclbnjpbdnmbcgjaf
pedokobimilhjemibclahcelgedmkgei
plnlhldekkpgnngfdbdhocnjfplgnekg
C2s:
http://ledgerwallet.xyz/api.php
https://v1.ledgers.tech
https://coinomibeta.online/post/connexion.php
https://completssl.com/functions.php
https://completssl.com/ssnd_1.php
https://completssl.com/ssnd_el.php
https://completssl.com/ssnd_ex.php
https://completssl.com/ssnd_t.php
https://cxext.org/6721e14f0257a64f1f0a9114197d59ba/
https://docs.google.com/forms/d/1PXmiKeuYFdNS8D1q5yU1Cb7_9TwZQMbMCTl2PfSYhLI/formResponse
https://docs.google.com/forms/d/e/1FAIpQLSc1DTYAqXYnGTaUH0AIJa-rC2lk7V5nsE6tEdGIKXTKNm36HQ/formResponse
https://docs.google.com/forms/d/e/1FAIpQLScuQg9Rpct1ahMotYT12xBAt3MmcubQg-duV1a0BZ_vo1Tj4g/formResponse
https://ledger.productions/api_v1/
https://mecxanalytic.co/api_keystore.php
https://mecxanalytic.co/api_mnemonic.php
https://mecxanalytic.co/api_private.php
https://trxsecuredapi.co/api_ledger.php
https://usermetrica.org/api_v1/
http://vh368451.eurodir.ru/api/v1/
https://walletbalance.org/api_v1/
ws://analytics-server296.xyz:4367

Un gran agradecimiento a Harry Denley, quien contribuyó con mucho tiempo y trabajo para armar esta investigación.

Consultas? Comuníquese en Twitter o Telegram. Suscríbase a nuestra fuente RSS para recibir nuestras últimas actualizaciones.


No se pierda Nuestras Historias