Pericolose estensioni per il browser, o Come è facile perdere la loro moneta?

Abbiamo periodicamente vi ricordiamo, come correttamente moneta, non cadere in trucchi ed in generale non perdere i loro cari della moneta. Metodi di truffa si evolvono di anno in anno e ora alcuni di loro sono così abilmente e mascherati, che anche tecnicamente esperti, è difficile riconoscere il pericolo. Oggi dettagli esaminare il tema di malware estensioni per il browser. Apparentemente, dovrebbero facilitare la vita, ma spesso fanno solo peggio.

qui di Seguito — la traduzione di un articolo di un utente Harry .

Non installare tutto

Recentemente mi sono imbattuto in un progetto, che promette di cashback con ogni transazione, compreso il commercio su centralizzati scambi. Per ottenere indietro il 5 per cento, è sufficiente installare l'estensione per il browser. Se l'offerta sembra troppo bello per essere vero, allora probabilmente è una bufala. Al momento di rilevazione dell'applicazione BCC Cash con ID in Chrome liachincjagnalnmahhaioaogkngbmhf è stato 181 utente. Ora l'applicazione è sparito dal negozio.

il Prodotto, che promette di ritorno del 5 per cento su tutti i vostri blockchain-transazioni. Troppo bello per essere vero.

Ho studiato il codice e ho trovato in esso un malware comportamento. Estensione dannoso interessato solo nei seguenti monete: , , , , , e .

Quali autorizzazioni richiede l'estensione?

Dopo aver installato l'estensione richiede l'accesso in scrittura ai vari domini, tra cui Github, Exmo, Coinbase, Binance, HitBTC, LocalBitcoins e gli altri. Esso richiede l'accesso a tutte le schede aperte e ai vostri biscotti – con queste soluzioni spesso abusato, rubando i vostri beni con una varietà di borse e portafogli.

Cosa fa?

Se riassumere in una sola frase, l'estensione ruba tutte le vostre informazioni confidenziali a seconda del dominio. Ad esempio, in Binance è rapisce i dati di login, codici di autenticazione a due fattori e CSRF-token, dopo di che cerca di dedurre automaticamente le monete.

Si Consideri, come accade.

Passo 1. Il furto dei dati di accesso

L'Estensione contiene il codice che viene attivato quando si preme il pulsante di accesso e rapisce immessi mail e la password, mantenendoli in LocalStorage e inviando al server senza interrompere il normale processo di accesso al mercato.

il Codice, rapendo i dati di accesso al Binance

Passo 2. Il furto di codici di autenticazione a due fattori

Quando si accede, estensione traccia ingresso di autenticazione a due fattori e aspetta fino a quando il modulo non viene inviato. Dopo di che traduce il codice inserito sul server insieme a quelli in LocalStorage mail e la password di un primo passo.

il Codice, strappò il codice di autenticazione a due fattori quando si accede

Dopo l'accesso l'estensione ogni 5 minuti ti chiederà il codice di Google Authenticator, che sarà inviata al suo server. Questo dà ai criminali informatici di più tentativi, se cercheranno di entrare nel tuo account e mancheranno codice, che è andato all'accesso.

la Richiesta del codice di autenticazione a due fattori su Google Binance

Passo 3. Furto CSRF-token e conclusione

Quando si sta navigando sul Binance il tuo equilibrio, rapisce l'estensione del file cookie CSRF-token e lo invia al server. Poi fa una richiesta POST, per prendere possesso di equilibrio di monete, e cerca di lavarli.

L'Estensione rapisce CSRF-token per eseguire su di loro la funzione md5() e fare una richiesta POST /exchange/private/yserAssetTransferBtc, per incanalare il vostro equilibrio. Dopo questa estensione ordina monete di costo e cercando loro di ritirarsi.

Se l'estensione rileva una moneta con un saldo di più 0.01 BTC, che è possibile ritirare, esso vi porterà alla pagina di output monete con il più alto costo, completerà automaticamente la richiesta di prelievo e preme il pulsante di uscita automatica. Inoltre farà chiudere lo schermo Binance, inserendo nel corpo del documento, elemento div, portando in primo piano e modificando il testo conferma il codice di autenticazione a due fattori. È necessario, per convincere che si è usciti da un sito. Tutto questo avviene molto rapidamente, e non si accorgono neppure che si viene reindirizzati alla pagina.

l'Utente crede che la sua sessione completata

Quando l'utente inserisce il codice di autenticazione a due fattori, per «ripristinare» la sessione (non sapendo che si conferma il ritiro di monete all'indirizzo dell'attaccante), dopo che il suo chiesto di controllare la posta elettronica. Naturalmente, l'utente riceverà una lettera di conferma di uscita, ma se non si mette a leggere il contenuto della lettera e basta fa clic sul collegamento, allora conferma la conclusione e mette processo. La stessa cosa accade su Coinbase: periodico richieste di codice di autenticazione a due fattori e il rapimento di cookie e dati di accesso.

Esempio implementato l'estensione per il browser forma di inserire il codice di autenticazione a due fattori su Coinbase

Se siete visualizzare il conto, l'estensione calcola bene con il più alto costo, anche inviando il costo di tutti i vostri beni sul tuo server, e tenta di prelevare fondi. Sembra che questo.

L'Estensione cambia la struttura della finestra di uscita, per costringere l'utente a inserire i dati (valore hash MD5 – durante il test ho cambiato in quello che controllo io). Durante il test ho avuto 100 chili, in modo che ti lasciano il 3 per cento.

Questo accade ad ogni caricamento della pagina con i vostri account, quindil'utente potrebbe accidentalmente eseguire conclusione. Astutamente. In questo modo l'estensione ruba i dati di accesso al mercato e sta cercando di farti confermare il trasferimento di fondi ai criminali informatici.

Dove partono i mezzi?

Gli Aggressori hanno i seguenti indirizzi:

• – 16EegrNMdZ9Rxku6Za5neEFjMW57wkQr1s;
• – 0x03b70dc31abf9cf6c1cf80bfeeb322e8d3dbb4ca;
• – 1PCh7w6LdcEv1sWd5wtvkELHcWe5HumUi3;
• – LRPChoyN8qLWENjo1dUjk2bESZjE7bQ6sp;
• – 0x03B70DC31abF9cF6C1cf80bfEEB322e8d3dbb4ca;
• – rGmdGrMjvxt6S3VjF4M78U2YMLPR6XLPsn;
• – 0x4F53C9882Ba87d2D7c525dF2aEF2540efb6e32e5.

Una volta avviata l'estensione su Chrome store 3 dicembre 2018 gli aggressori hanno rubato 23,23550279 BTC. Informazione è vera, se si assume che gli indirizzi utilizzati solo per questa espansione, e attraverso di loro erano solo mezzi rubati).

Quali sono i segreti abbiamo scoperto?

• indirizzi intrusi;
• server e domini;
• commenti al codice per la lingua italiana, è molto probabile che per questo ci sono i russi.

Abbiamo anche coperto il dominio del server di intrusi, quindi chi ha installato l'estensione, non saranno le sue vittime. Ma abbiamo ancora chiediamo di rimuovere l'estensione dal browser e modificare le mail e le password in tutti i криптосервисах, che sono in uso.

L'Estensione ha compiuto azioni dannose per le seguenti piattaforme: Exmo, Coinbase, Hbg / Huobi, HitBTC, Binance, LocalBitcoins, Blockchain, e .

Come proteggersi?

• Non regolate incomprensibili programma, che costantemente richiedono i diritti di accesso;
• se hai qualcosa di sospetto, allora probabilmente lo è;
• analizzare periodicamente estensione, che sono installati sul vostro browser, rimuovere inutilizzati;
• se il browser è l'estensione che si utilizza, cerca la versione/alternativa open source o disattivare gli aggiornamenti automatici dal negozio di Chrome. Controllare il codice o individuare una persona affidabile, che sarà in grado di farlo.

I dati Più cercate .