A ascensão do phishing de extensão do Chrome

PhishFort lançou recentemente um serviço de monitoramento e remoção de extensão como parte de nosso abrangente pacote de proteção contra phishing que inclui mídia social, sites, domínios, aplicativos móveis e remoções. Isso foi confirmado por uma pesquisa conduzida junto com o MyCrypto sobre os ataques de phishing feitos por meio de extensões do navegador Chrome.
Motivação e propósito
Ficamos de olho nos tipos de ataques que chegam aos usuários de criptomoedas diariamente e frequentemente escrevemos sobre nossas descobertas para ajudar a educar a comunidade. Vimos vários tipos de ataques a usuários, que vão desde simples golpes de negociação de confiança até sequestro de SIM e comprometimento e roubo de fundos de contas de câmbio.

Recentemente, vimos grandes campanhas distribuindo extensões de navegador falsas para usuários e direcionando marcas conhecidas por meio do Google Ads e outros canais. Embora este não seja um novo vetor de ataque - e já escrevemos sobre extensões de navegador maliciosas antes - as marcas visadas são novas.
Os objetivos da pesquisa são:
- Eduque os "usuários comuns" sobre os diferentes vetores de ataque
- Faça relatórios sobre grandes campanhas para conscientizar as pessoas
- Dê a “usuários do dia-a-dia” exemplos de ataques da vida real para que eles sejam mais propensos a aplicar controles de segurança em seus ativos
- Ajude a encerrar a infraestrutura de campanha fraudulenta
- Reúna inteligência para alimentar ferramentas personalizadas para ajudar na detecção antes que as vítimas sejam feitas
Visão geral
Encontramos uma série de extensões direcionadas a marcas e usuários de criptomoedas. Embora todas as extensões funcionem da mesma forma, a marca é diferente, dependendo do usuário a que se destinam. Essencialmente, as extensões são phishing de segredos - frases mnemônicas, chaves privadas e arquivos de armazenamento de chaves. Depois que o usuário os insere, a extensão envia uma solicitação HTTP POST ao back-end, onde os malfeitores recebem os segredos e esvaziam as contas.
Identificamos 14 C2s exclusivos (também conhecido como servidor de comando e controle que continua a se comunicar com seu sistema comprometido), mas usando a análise de impressão digital, podemos vincular C2s específicos entre si para concluir quais kits de phishing têm o mesmo problema ator (es) por trás deles. Alguns kits enviaram os dados de phishing de volta para um formulário GoogleDocs. No entanto, a maioria hospedava seu próprio back-end com scripts PHP personalizados. Os C2s identificados são:
- analytics-server296.xyz
- coinomibeta.online
- completssl.com
- cxext.org
- ledger.productions
- ledgerwallet.xyz
- mecxanalytic.co
- networkforworking.com
- trxsecuredapi.co
- usermetrica.org
- walletbalance.org
- ledgers.tech
- vh368451.eurodir.ru
- Xrpclaim.net
Embora alguns dos domínios sejam relativamente antigos, 80% dos C2s foram registrados em março e abril de 2020 (uma divisão uniforme). O domínio mais antigo (ledger.productions) tem mais “conexões” com outros C2s em termos de impressões digitais, portanto, temos alguma indicação do mesmo kit de back-end (ou dos mesmos atores por trás dele) para a maioria das extensões.

Também inspecionamos alguns dos outros C2s em busca de arquivos de log comuns e, embora a maioria deles não os tivesse disponíveis na raiz da web, alguns emitindo 403's, havia um que pertencia a trxsecuredapi.co que dava alguns pequenos insights (se consideramos tudo pelo seu valor nominal):
- O servidor usado para este C2 é trxsqdmn
- O e-mail do administrador segue esta máscara: “b - 0 @ r - r.ru” - potencialmente indicando atores baseados na Rússia
- O primeiro registro foi 29-Mar-2020 10:43:14 América / New_York
- O C2 hospeda outros arquivos além daqueles para coletar os segredos de phishing
Abaixo está um vídeo de como funciona uma extensão maliciosa direcionada aos usuários do MyEtherWallet. Parece a mesma experiência típica do MyEtherWallet até que você digite seus segredos. Depois de enviá-los, o aplicativo malicioso envia seus segredos de volta para o servidor controlado pelo (s) malfeitor (es) antes de enviá-lo de volta para a visualização padrão e, em seguida, não faz nada, resultando em:
- Um usuário ficando frustrado e enviando segredos novamente (talvez até mesmo outros)
- Um usuário que desinstala a extensão e se esquece das ramificações de digitar seus segredos até que seus fundos sejam drenados - o que provavelmente acontecerá depois que a extensão for removida da loja para que ele não possa investigar onde estava a falha de segurança.
Algumas das extensões tiveram uma rede de usuários falsos que classificaram o aplicativo com 5 estrelas e deram feedback positivo sobre a extensão para atrair o usuário a baixá-la. A maior parte do feedback positivo de maus atores foi de baixa qualidade, como "bom", "aplicativo útil" ou "extensão legítima". Uma extensão se destacou por ter o mesmo “copypasta” cerca de 8 vezes, de autoria de diferentes usuários, compartilhando uma introdução sobre o que é Bitcoin e explicando por que o [malicioso] MyEtherWallet era sua extensão de navegador preferida (Nota: MEW não suporta Bitcoin )
Havia também uma rede de usuários vigilantes que escreveram comentários legítimos sobre as extensões serem maliciosas - no entanto, é difícil dizer se eles próprios foram vítimas dos golpes de phishing ou apenas ajudando a comunidade a não baixar.

Uma colagem de comentários sobre várias extensões maliciosas
A Google Webstore tem uma seção de relatórios e as extensões foram removidas em 24 horas.
Uma análise do nosso conjunto de dados sugere que as extensões maliciosas começaram a chegar lentamente à loja em fevereiro de 2020, aumentaram os lançamentos até março de 2020 e, em seguida, lançaram rapidamente mais extensões em abril de 2020.
- Fevereiro de 2020: 2,04% foram publicados neste mês a partir de nosso conjunto de dados
- Março de 2020: 34,69% foram publicados neste mês a partir de nosso conjunto de dados
- Abril de 2020: 63,26% foram publicados neste mês a partir de nosso conjunto de dados
Isso significa que nossa detecção está ficando muito melhor ou que o número de extensões mal-intencionadas que atingem as lojas de navegadores para visar usuários de criptomoedas está crescendo exponencialmente.
Uma análise do nosso conjunto de dados sugere que a Ledger é a marca mais visada - sem especular, é difícil dizer por quê. Ledger foi responsável por 57% dos ataques descobertos.
Para onde foram os fundos roubados?
Enviamos fundos para alguns endereços e enviamos os segredos das extensões maliciosas. No entanto, eles não foram varridos automaticamente. Isso pode ocorrer por alguns motivos:
- Os golpistas estão interessados apenas em contas de alto valor
- Os golpistas precisam varrer as contas manualmente
Mesmo que nossos endereços não tenham sido varridos, houve relatos públicos de usuários sobre a perda de fundos para extensões de navegador mal-intencionadas:
- https://support.google.com/chrome/thread/39247659?hl=en
- https://redd.it/fws38m
- https://forum.toshitimes.com/t/metamask-got-hacked/12767/3
Se você suspeita que foi vítima de uma extensão de navegador maliciosa, envie um relatório em https://cryptoscamdb.org/report/.
Como posso ficar seguro?
Embora existam muitos vetores de ataque diferentes para usuários diários de criptomoedas que não se limitam a extensões de navegador mal-intencionadas, o seguinte abordará apenas as extensões de navegador mal-intencionadas.
Eu sou um usuário diário de criptomoeda.
- Familiarize-se com as permissões de cada extensão de seu navegador acessando chrome: // extensions / e clicar na guia “Detalhes” de cada extensão.
- Compreenda os riscos associados a cada permissão.
- Considere remover a extensão se ela tiver permissões que você acha que estão fora do escopo de uso da extensão.
- Limite as extensões para serem executadas apenas em determinados domínios ou quando você clicar no ícone da extensão no canto superior direito do seu navegador.
- LEIA: Um anti-criptominer falso direcionado aos domínios MyEtherWallet [.] Com e Blockchain [.] Com - https://medium.com/mycrypto/hunting-huobi-scams-662256d76720.
- LEIA: Uma extensão de cashback falsa voltada para as bolsas de criptomoedas populares - https://medium.com/mycrypto/the-dangers-of-malicious-browser-extensions-ef9c10f0128f.
- Considere a criação de um usuário de navegador separado que você use exclusivamente para dados de criptomoeda - isso limitará qualquer escopo de superfície de ataque e uma separação de interesses (perfis pessoais e criptomoedas), aumentando a privacidade relacionada ao seu perfil de criptomoeda.
Sou uma equipe / empresa que disponibiliza uma solução para os utilizadores diários.
- Considere monitorar as lojas de extensões do navegador se seu produto atender aos critérios que vimos direcionados - usando monitoramento interno ou parceria com um terceiro que investigará e removerá essas extensões em seu nome. PhishFort oferece este serviço. Se você acha que podemos ajudá-lo, entre em contato conosco.
- Lembre e force os usuários a ficarem protegidos com seus segredos.
- Rejeite o uso de segredos brutos (frases mnemônicas, arquivos de armazenamento de chaves, chaves privadas) com seu produto e promova outros mecanismos de assinatura.
- Crie uma lista pública de todos os seus produtos e links para que os usuários tenham uma fonte confiável de informações confiáveis.
IOCS
Extension IDs:
afephhbbcdlgdehhddfnehfndnkfbgnm
agfjbfkpehcnceblmdahjaejpnnnkjdn
ahikdohkiedoomaklnohgdnmfcmbabcn
ahlfiinafajfmciaajgophipcfholmeh
akglkgdiggmkilkhejagginkngocbpbj
anihmmejabpaocacmeodiapbhpholaom
bhkcgfbaokmhglgipbppoobmoblcomhh
bkanfnnhokogflpnhnbfjdhbjdlgncdi
bpfdhglfmfepjhgnhnmclbfiknjnfblb
bpklfenmjhcjlocdicfadpfppcgojfjp
ckelhijilmmlmnaljmjpigfopkmfkoeh
dbcfhcelmjepboabieglhjejeolaopdl
dbcfokmgampdedgcefjahloodbgakkpl
ddohdfnenhipnhnbbfifknnhaomihcip
dehindejipifeaikcgbkdijgkbjliojc
dkhcmjfipgoapjamnngolidbcakpdhgf
effhjobodhmkbgfpgcdabfnjlnphakhb
egpnofbhgafhbkapdhedimohmainbiio
ehlgimmlmmcocemjadeafmohiplmgmei
epphnioigompfjaknnaokghgcncnjfbe
gbbpilgcdcmfppjkdociebhmcnbfbmod
glmbceclkhkaebcadgmbcjihllcnpmjh
gpffceikmehgifkjjginoibpceadefih
idnelecdpebmbpnmambnpcjogingdfco
ifceimlckdanenfkfoomccpcpemphlbg
ifmkfoeijeemajoodjfoagpbejmmnkhm
igkljanmhbnhedgkmgpkcgpjmociceim
ijhakgidfnlallpobldpbhandllbeobg
ijohicfhndicpnmkaldafhbecijhdikd
jbfponbaiamgjmfpfghcjjhddjdjdpna
jfamimfejiccpbnghhjfcibhkgblmiml
jlaaidmjgpgfkhehcljmeckhlaibgaol
kjnmimfgphmcppjhombdhhegpjphpiol
lfaahmcgahoalphllknbfcckggddoffj
mcbcknmlpfkbpogpnfcimfgdmchchmmg
mciddpldhpdpibckghnaoidpolnmighk
mjbimaghobnkobfefccnnnjedoefbafl
mnbhnjecaofgddbldmppbbdlokappkgk
nicmhgecboifljcnbbjlajbpagmhcclp
njhfmnfcoffkdjbgpannpgifnbgdihkl
noilkpnilphojpjaimfcnldblelgllaa
obcfoaeoidokjbaokikamaljjlpebofe
oejafikjmfmejaafjjkoeejjpdfkdkpc
ogaclpidpghafcnbchgpbigfegdbdikj
opmelhjohnmenjibglddlpmbpbocohck
pbilbjpkfbfbackdcejdmhdfgeldakkn
pcmdfnnipgpilomfclbnjpbdnmbcgjaf
pedokobimilhjemibclahcelgedmkgei
plnlhldekkpgnngfdbdhocnjfplgnekg
C2s:
http://ledgerwallet.xyz/api.php
https://v1.ledgers.tech
https://coinomibeta.online/post/connexion.php
https://completssl.com/functions.php
https://completssl.com/ssnd_1.php
https://completssl.com/ssnd_el.php
https://completssl.com/ssnd_ex.php
https://completssl.com/ssnd_t.php
https://cxext.org/6721e14f0257a64f1f0a9114197d59ba/
https://docs.google.com/forms/d/1PXmiKeuYFdNS8D1q5yU1Cb7_9TwZQMbMCTl2PfSYhLI/formResponse
https://docs.google.com/forms/d/e/1FAIpQLSc1DTYAqXYnGTaUH0AIJa-rC2lk7V5nsE6tEdGIKXTKNm36HQ/formResponse
https://docs.google.com/forms/d/e/1FAIpQLScuQg9Rpct1ahMotYT12xBAt3MmcubQg-duV1a0BZ_vo1Tj4g/formResponse
https://ledger.productions/api_v1/
https://mecxanalytic.co/api_keystore.php
https://mecxanalytic.co/api_mnemonic.php
https://mecxanalytic.co/api_private.php
https://trxsecuredapi.co/api_ledger.php
https://usermetrica.org/api_v1/
http://vh368451.eurodir.ru/api/v1/
https://walletbalance.org/api_v1/
ws://analytics-server296.xyz:4367
Um grande obrigado a Harry Denley, que contribuiu com seu tempo e trabalho significativos para montar esta pesquisa.contributed significant time and work to putting this research together.
Consultas? Entre em contato Twitter ou noTelegram. Assine nosso RSS feed para recibir nuestras últimas actualizaciones.