التهديد متصفح التمديد ، أو كيف أنه من السهل أن تفقد cryptocurrency ؟

نحن دوري أذكركم كيف cryptocurrencies لا تسقط عن الحيل و في العامة لا تفقد العزيزة القطع النقدية. أساليب المحتالين تتطور من سنة إلى أخرى و الآن بعض منهم حتى المقنعة بذكاء و ذلك حتى البارعين في امور التكنولوجيا المستخدم من الصعب التعرف على الخطر. اليوم سوف ندرس موضوع الخبيثة ملحقات المتصفحات. ويبدو أنها ينبغي أن تجعل الحياة أسهل ، ولكن غالبا ما تجعل الأمور أسوأ.

وفيما يلي ترجمة المقال المستخدم هاري....

تثبيت كل شيء

لقد تعثرت في الآونة الأخيرة على مشروع وعود استرداد نقدي على كل معاملة ، بما في ذلك التجارة على مركزية التبادل. أن نعود إلى 5 في المئة ، ما يكفي لتثبيت متصفح التمديد. إذا كان العرض يبدو جيدا جدا ليكون صحيحا ، ثم هي احتمالات أنها عملية احتيال. في وقت كشف تطبيق CCB النقدية مع معرف في كروم liachincjagnalnmahhaioaogkngbmhf 181 من قبل المستخدم. الآن التطبيق اختفى من المتجر.

المنتج الذي يبشر بعودة 5 في المئة على جميع blockchain المعاملات. جيدة جدا ليكون صحيحا.

لقد درست القانون إلى سلوك ضار. التمديد الخبيثة مهتمة فقط في القطع التالية: , , , , , و .

ما أذونات طلب التمديد ؟

بعد التثبيت, تمديد طلبات الكتابة الوصول إلى مجموعة متنوعة من المجالات بما في ذلك جيثب ، Exmo, Coinbase, Binance, HitBTC, LocalBitcoins ، وغيرها. فإنه يسأل عن الوصول إلى كافة علامات التبويب المفتوحة و ملفات تعريف الارتباط الخاصة بك – هذه الأذونات غالبا ما يساء استخدامها, سرقة الأصول الخاصة بك من مختلف التبادلات محافظ.

ماذا يفعل ؟

أن يلخص في جملة واحدة ، تمديد يسرق جميع المعلومات السرية الخاصة بك اعتمادا على المجال. على سبيل المثال ، على Binance يسرق بيانات تسجيل الدخول, رموز اثنين عامل التوثيق و CSRF الرموز ، ثم يحاول تلقائيا سحب القطع.

انظر كيف يحدث هذا.

الخطوة 1. سرقة معلومات تسجيل الدخول

تمديد يحتوي على التعليمات البرمجية التي يتم تشغيلها عند النقر على زر ويسرق أدخل البريد وكلمة المرور من خلال تخزينها في LocalStorage وإرسالها إلى الخادم الخاص بك دون تعطيل عملية طبيعية من دخول البورصة.

الرمز الذي يسرق معلومات تسجيل الدخول على Binance

الخطوة 2. سرقة رموز المصادقة اثنين عامل

عندما كنت تسجيل الدخول إلى تمديد شاشات الإدخال اثنين عامل التوثيق و ينتظر حتى يتم إرسال استمارة. ثم يترجم رمز دخلت على الخادم الخاص بك جنبا إلى جنب مع تخزينها في LocalStorage البريد وكلمة المرور من الخطوة الأولى.

كود, سرقة رمز مصادقة اثنين عامل في تسجيل الدخول

بعد دخول امتداد كل 5 دقائق إلى طلب رمز من أداة مصادقة Google التي سيتم إرسالها إلى الملقم. هذا يعطي المستخدمين المزيد من المحاولات ، إذا أنها سوف محاولة تسجيل الدخول إلى الحساب الخاص بك وكلمة المرور التي تم إرسالها عند تسجيل الدخول.

طلب رمز مصادقة اثنين عامل على جوجل Binance

الخطوة 3. سرقة CSRF-رمزية و الإخراج

عندما كنت تصفح على Binance رصيدك, زيادة يسرق الكوكيز CSRF رمزية ويرسل إلى الخادم الخاص بك. ثم يجعل طلب POST إلى اغتنام رصيد من النقود ، ومحاولة منهم.

تمديد يسرق CSRF الرموز لتنفيذ عليهم الدالة md5() تقديم طلب POST /الصرف/خاص/yserAssetTransferBtc للاستيلاء على التوازن الخاص بك. بعد هذا التمديد أنواع القطع من حيث القيمة و محاولة جلب لهم.

إذا كان التمديد يجد عملة رصيد من أكثر من 0.01 BTC, والتي يمكن عرضها ، وسوف يأخذك إلى الصفحة إخراج العملة مع أعلى قيمة تلقائيا تعبئة طلب ثم انقر فوق تلقائيا الانسحاب. فإنه سيتم أيضا تشويه الشاشة Binance إدخالها في الجسم من الوثيقة ، عنصر div بنقله إلى المقدمة و تغيير النص رمز التأكيد اثنين عامل التوثيق. فمن الضروري أن يقنعك بأنك خرجت من الموقع. كل هذا يحدث بسرعة كبيرة و لا حتى إشعار التي تم إعادة توجيهها من الصفحة.

المستخدم يعتقد أن له دورة كاملة

يقوم المستخدم بإدخال رمز مصادقة اثنين عامل إلى "استعادة" الدورة (لا يعرفون أنه هو تأكيد سحب النقود إلى عنوان مهاجم) ، ثم طلبت منه التحقق من البريد. وبطبيعة الحال ، فإن المستخدم سوف تتلقى رسالة تأكيد من الختام ، ولكن إذا كان لا قراءة محتويات الرسالة فقط انقر على الرابط, وسوف تأكيد الانسحاب وبدء عملية. نفس الشيء يحدث في Coinbase: الدوري طلبات رمز مصادقة اثنين عامل و سرقة الكوكيز و إدخال البيانات.

مثال جزءا لا يتجزأ من متصفح التمديد أشكال أدخل رمز مصادقة اثنين عامل على Coinbase

إذا عرض الحساب امتداد حساب الأصول مع أعلى تكلفة ، وكذلك ارسال قيمة جميع الأصول الخاصة بك على الخادم الخاص بك و محاولة سحب الأموال. يبدو مثل هذا.

تمديد التغييرات هيكل إطار الإخراج لإجبار المستخدم على إدخال البيانات (تجزئة MD5 القيمة أثناء اختبار غيرته إلى أن التحكم). أثناء الاختبار كان 100 جنيه ، لذلك تركت 3 في المئة.

هذا يحدث في كل مرة تحميل الصفحة مع الحسابات الخاصة بك ، لذلكيمكن للمستخدم عن طريق الخطأ بدء الانتاج. صعبة. ولذلك فإن تمديد يسرق معلومات تسجيل الدخول الخاصة بك إلى تبادل وتحاول أن تحصل على تأكيد تحويل الأموال إلى المحتالين.

حيث يمكنك إرسال الأموال ؟

المهاجمون العناوين التالية:

• – 16EegrNMdZ9Rxku6Za5neEFjMW57wkQr1s;
• – 0x03b70dc31abf9cf6c1cf80bfeeb322e8d3dbb4ca;
• – 1PCh7w6LdcEv1sWd5wtvkELHcWe5HumUi3;
• – LRPChoyN8qLWENjo1dUjk2bESZjE7bQ6sp;
• – 0x03B70DC31abF9cF6C1cf80bfEEB322e8d3dbb4ca;
• – rGmdGrMjvxt6S3VjF4M78U2YMLPR6XLPsn;
• – 0x4F53C9882Ba87d2D7c525dF2aEF2540efb6e32e5.

منذ إطلاق التمديد في متجر كروم 3 ديسمبر 2018 المهاجمين سرقوا 23,23550279 BTC. سوف تكون المعلومات صحيحة ، على افتراض أن هذه العناوين يتم استخدامها فقط من أجل هذا التوسع ، وعن طريق لهم إلا سرقة الأموال).

ما هي الأسرار التي اكتشفناها ؟

• عناوين من المهاجمين.
• خوادم نطاقات;
• تعليقات التعليمات البرمجية في روسيا – فمن المحتمل جدا أن هذه هي الروسية.

كما غطت المجال من الملقم البعيد ، حتى أولئك الذين لديهم التمديد لن تصبح الضحايا. ولكن لا يزال نشجعكم على إزالة الملف من المتصفح وتغيير البريد الإلكتروني وكلمة المرور في كل cryptoservice استخدامها.

تمديد تم تنفيذ إجراءات ضارة على المنصات التالية: Exmo, Coinbase, Hbg / Huobi, HitBTC, Binance, LocalBitcoins, Blockchain .

كيف تحمي نفسك ؟

• لا تثبيت البرامج غير معروف هذا مزعج طلب حقوق الوصول;
• إذا كنت تشك في شيء ما ، ربما هو;
• دوري تحليل الإضافات التي يتم تثبيتها في المتصفح الخاص بك ، وحذف غيرمستعمل;
• إذا كان تمديد المتصفح الذي تستخدمه ، تبدو إصدار/بديل مفتوح المصدر أو تعطيل التحديثات التلقائية متجر كروم. تحقق من رمز أو العثور على شخص موثوق الذين يمكن أن تفعل ذلك.

المزيد من البيانات إلى البحث عن .