Perigosos extensão para o navegador, ou Como é fácil perder o seu криптовалюты?

Periodicamente, lembramos, como corretamente криптовалюты, não cair na armadilha e, em geral, para não perder suas preciosas moedas. Métodos golpistas se desenvolvem a partir de um ano após ano, e agora alguns deles são tão enganador e mascarados, que, mesmo tecnicamente подкованному usuário dificuldade em reconhecer o perigo. Hoje estudaremos detalhadamente o tema malicioso com extensão para os navegadores. Aparentemente, eles devem facilitar a vida, mas, muitas vezes fazem piorar a situação.

Abaixo a tradução do artigo do usuário Harry .

Não coloque todos em uma linha

Recentemente, me deparei com o projeto, promete o reembolso de cada transação, incluindo negociação em bolsas de valores centralizados. Para obter volta de 5 por cento, basta instalar a extensão para o navegador. Se uma oferta parecer boa demais para ser verdade, então provavelmente é uma farsa. No momento de aplicação da CCB Cash com o ID no google Chrome liachincjagnalnmahhaioaogkngbmhf foi 181 usuário. Agora, o aplicativo desapareceu da loja.

o Produto, que promete um retorno de 5 por cento de todas as suas блокчейн transações. Bom demais para ser verdade.

Eu estudei o código e encontrou nele um comportamento malicioso. Malware extensão interessado somente nas seguintes moedas: , , , , , e .

as permissões Que pede extensão?

Depois de instalar a extensão de consulta de acesso de gravação aos vários domínios, incluindo o Github, Exmo, Coinbase, Binance, HitBTC, LocalBitcoins e outros. Ele solicita o acesso a todas as guias abertas e pronta para cookies essas permissões muitas vezes em demasia, roubando seus ativos com várias bolsas e carteiras.

o Que ele faz?

Se resumir em uma única frase, a extensão rouba todas suas informações confidenciais com base no domínio. Por exemplo, no Binance ele rouba os dados de login, códigos de autenticação de dois fatores e CSRF-tokens, após o que automaticamente tenta retirar as moedas.

Vejamos como isso acontece.

Passo 1. O roubo de dados de início de sessão

A Extensão contém um código, que é ativado quando você clica no botão de início de sessão e roubos de entrada de e-mail e senha, mantendo-os em LocalStorage e enviar para o seu servidor sem interromper o fluxo normal do processo de entrada na bolsa de valores.

o Código seria os dados de login do Binance

Passo 2. O roubo de códigos de autenticação de dois fatores

Quando você entra, a extensão monitora a entrada de autenticação de dois fatores e espera até que o formulário não será enviado. Depois disso, ele traduz o código em seu servidor, juntamente com armazenados no LocalStorage mail e palavra-passe da primeira etapa.

o Código seria o código de autenticação de dois fatores ao entrar

Depois de entrar a extensão a cada 5 minutos irá pedir-lhe o código do Google Authenticator, que será enviada para o seu servidor. Isto dá os atacantes mais tentativas, se eles vão tentar entrar na sua conta e vai perder o código, que ia ao entrar.

a Solicitação de código de autenticação de dois fatores Google Binance

Passo 3. O roubo da CSRF-token e a saída

Quando você estiver navegando no Binance o seu equilíbrio, a extensão de roubos de seu arquivo de cookies CSRF-token e envia-lo para o seu servidor. Depois disso, ele faz uma solicitação POST para conquistar o equilíbrio de moedas, e tenta discretamente a sua saída.

A Extensão de roubos CSRF-tokens, para executar sobre eles a função md5() e fazer a solicitação POST /exchange/private/yserAssetTransferBtc), para tomar posse do seu equilíbrio. Depois disso, a extensão classifica as moedas de valor e tenta tirá-los.

Se a extensão detecta uma moeda com um saldo de mais de 0,01 BTC, que pode ser aprendida, ele o levará para a página de saída de moedas de maior valor, preencherá o pedido de saída e clicar no botão automático de saída. Ele também размажет tela Binance, inserindo no corpo do documento, o elemento div, lançando-o para o primeiro plano e alterando o texto para confirmar o código de autenticação de dois fatores. É preciso convencê-lo de que você sair do site. Tudo isso acontece muito rápido, e você nem percebe que tem desviado a partir da página.

o Usuário acredita que a sessão foi concluída

Em seguida, o usuário insere o código de autenticação de dois fatores, para "restaurar" a sessão (não sabendo que ele confirma a saída de moedas para o endereço atacante), após o que o pedido pode verificar o e-mail. Claro, o usuário recebe apenas uma carta de confirmação de saída, mas se ele não vai ler o conteúdo da carta e basta clicar no link, irá confirmar a saída e iniciar o processo. O mesmo acontece no Coinbase: consultas periódicas de código de autenticação de dois fatores e o roubo de cookies e dados de início de sessão.

Exemplo implementado uma extensão para o navegador do formulário de inserção de código de autenticação de dois fatores no Coinbase

Se você vai consultar a fatura, a extensão de calcular o ativo de maior valor, também enviando o valor de todos os seus ativos no seu servidor e tenta levantar o dinheiro. Parece que é assim.

A Extensão altera a estrutura da janela de saída, para forçar o usuário a digitar os dados (valor de hash MD5 – durante o teste, eu mudei, que controlava a). Durante o teste, eu tinha 100 quilos, então você deixar 3 por cento.

Este comportamento ocorre quando cada carregamento da página com as suas contas, por issoo usuário pode acidentalmente executar a saída. Enganador. Portanto, a extensão rouba seus dados de início de sessão na bolsa de valores e tenta levá-lo a confirmar a transferência de fundos hackers.

para Onde vão?

Os Criminosos têm os seguintes endereços:

• – 16EegrNMdZ9Rxku6Za5neEFjMW57wkQr1s;
• – 0x03b70dc31abf9cf6c1cf80bfeeb322e8d3dbb4ca;
• – 1PCh7w6LdcEv1sWd5wtvkELHcWe5HumUi3;
• – LRPChoyN8qLWENjo1dUjk2bESZjE7bQ6sp;
• – 0x03B70DC31abF9cF6C1cf80bfEEB322e8d3dbb4ca;
• – rGmdGrMjvxt6S3VjF4M78U2YMLPR6XLPsn;
• – 0x4F53C9882Ba87d2D7c525dF2aEF2540efb6e32e5.

Com o tempo de inicialização de extensão na loja do Chrome, 3 de dezembro de 2018, os criminosos roubaram 23,23550279 BTC. A informação é verdadeira, se a sugerir que estes endereços são usados apenas para essa expansão, e através deles passaram a краденные ferramentas).

Quais são os segredos que nós descobrimos?

• endereço de intrusos;
• servidores e domínios;
• comentários ao código em russo–, muito provavelmente, que custam os russos.

Nós também encobriu o domínio do servidor de intrusos, portanto, aqueles que têm uma extensão instalada, não mais serão suas vítimas. Mas nós ainda chamamos de remover a extensão do browser e alterar a mails e senhas de todos os криптосервисах que usar.

A Expansão levou a cabo acções maliciosas nas seguintes plataformas: Exmo, Coinbase, Hbg / Huobi, HitBTC, Binance, LocalBitcoins, Blockchain, e .

Como proteger-se?

• Não instalar o ininteligível, o programa, que procura solicitam direitos de acesso;
• se você suspeitar de que provavelmente é assim;
• avalie periodicamente as extensões que estão instalados no seu navegador e exclua não utilizados;
• se o navegador tem extensão, o que você usa, procure a versão do/alternativa de código aberto ou desative as atualizações automáticas do store do Chrome. Verifique se o código ou procure uma pessoa de confiança que possa fazê-lo.

Mais dados estão procurando .