Небезпечні розширення для браузера, або Як легко втратити свої кріптовалюти?

Ми періодично нагадуємо, як правильно кріптовалюти, не попастися на виверти і в цілому не втратити свої заповітні монетки. Методи шахраїв розвиваються з року в рік і зараз деякі з них настільки хитро і маскуються, що навіть технічно підкованому користувачеві складно розпізнати небезпеку. Сьогодні детально вивчимо тему шкідливих розширень для браузерів. Здавалося б, вони повинні полегшити життя, але частенько роблять тільки гірше.

Нижче — переклад статті користувача Harry на .

Не встановлюйте все підряд

Нещодавно я натрапив на проект, який обіцяє кешбек з кожної транзакції, включаючи торгівлю на централізованих біржах. Щоб отримати назад 5 відсотків, досить встановити розширення для браузера. Якщо пропозиція звучить занадто добре, щоб бути правдою, швидше за все, це і є обман. На момент виявлення у додатку CCB Cash з ID Chrome liachincjagnalnmahhaioaogkngbmhf 181 користувач. Зараз додаток пропало з магазину.

Продукт, що обіцяє повернення 5 відсотків з усіх ваших блокчейн-транзакцій. Занадто добре, щоб бути правдою.

Я вивчив код і виявив в ньому шкідливе поведінку. Шкідливе розширення зацікавлена тільки в наступних монетах: , , , , , та .

Які дозволу запитує розширення?

Після встановлення розширення запитує доступ із правом запису до різних доменів, включаючи Github, Exmo, Coinbase, Binance, HitBTC, LocalBitcoins і іншим. Воно запитує доступ до всіх відкритих вкладок і до ваших cookies – цими дозволу часто зловживають, викрадаючи ваші активи з різних бірж та гаманців.

Що воно робить?

Якщо резюмувати одним реченням, то розширення викрадає всю вашу конфіденційну інформацію в залежності від домену. Наприклад, на Binance воно викрадає дані логіна, коди двофакторної аутентифікації і CSRF-токени, після чого автоматично намагається вивести монети.

Розглянемо, як це відбувається.

Крок 1. Розкрадання даних входу

Розширення містить код, який спрацьовує при натисненні на кнопку входу і викрадає вводяться пошту і пароль, зберігаючи їх у LocalStorage і відправляючи на свій сервер без порушення нормального процесу входу на біржу.

Код, який викрадає дані входу на Binance

Крок 2. Крадіжка кодів двофакторної аутентифікації

Коли ви здійснюєте вхід, розширення відстежує вхід двофакторної аутентифікації і чекає, поки форма не буде відправлено. Після цього воно переводить введений код на свій сервер разом з даними, що зберігаються в LocalStorage поштою та паролем з першого кроку.

Код, який викрадає код двофакторної аутентифікації при вході

Після входу розширення кожні 5 хвилин буде запитувати у вас код Google Authenticator, який буде відправлятися на його сервер. Це дає зловмисникам більше спроб, якщо вони будуть намагатися ввійти у ваш аккаунт і пропустять код, який відправлявся при вході.

Запит коду двофакторної аутентифікації Google на Binance

Крок 3. Розкрадання CSRF-токена і висновок

Коли ви переглядаєте на Binance свій баланс, розширення викрадає з вашого файлу cookies CSRF-маркер і відправляє його на свій сервер. Після цього воно робить POST-запит, щоб заволодіти балансом монет, і намагається непомітно їх вивести.

Розширення викрадає CSRF-токени, щоб виконати над ними функцію md5() і зробити POST-запит /exchange/private/yserAssetTransferBtc для заволодіння вашим балансом. Після цього розширення сортує монети за вартістю і намагається їх вивести.

Якщо розширення виявить монету з балансом більше 0.01 BTC, яку можна вивести, воно перенесе вас на сторінку виведення монети з найвищою вартістю, автоматично заповнить запит на висновок і натисне кнопку автоматичного виводу. Воно також розмаже екран Binance, вставивши в тіло документа елемент div, вивівши його на передній план і змінивши текст підтвердження коду двофакторної аутентифікації. Це потрібно, щоб переконати вас, що ви вийшли з сайту. Все це відбувається дуже швидко, а ви навіть не помічаєте, що вас перенаправили зі сторінки.

Користувач вірить, що його сесія завершено

Тоді користувач вводить код двофакторної аутентифікації, щоб «відновити» сесію (не здогадуючись, що він підтверджує висновок монет на адресу зловмисника), після чого його попросять перевірити пошту. Звичайно, користувач отримає лише лист про підтвердження виводу, але якщо він не стане читати вміст листа і просто натисне посилання, то підтвердить висновок і запустить процес. Те ж саме відбувається на Coinbase: періодичні запити коду двофакторної аутентифікації і викрадення cookies і даних входу.

Приклад впровадженої розширення для браузера форми введення коду двофакторної аутентифікації на Coinbase

Якщо ви будете переглядати рахунки, розширення розрахує актив з найвищою вартістю, також відправивши вартість всіх ваших активів на свій сервер, і спробує вивести кошти. Виглядає це так.

Розширення змінює структуру вікна виводу, щоб змусити користувача ввести не ті дані (значення хеш MD5 – під час тестування я змінив його на те, що контролюю). Під час тестування у мене було 100 фунтів, так що вам залишають 3 відсотки.

Це відбувається при кожному завантаженні сторінки з вашими рахунками, томукористувач може випадково запустити висновок. Хитро. Таким чином розширення викрадає ваші дані входу на біржу і намагається змусити вас підтвердити переказ коштів зловмисникам.

Куди відправляються кошти?

Зловмисники мають наступні адреси:

• – 16EegrNMdZ9Rxku6Za5neEFjMW57wkQr1s;
• – 0x03b70dc31abf9cf6c1cf80bfeeb322e8d3dbb4ca;
• – 1PCh7w6LdcEv1sWd5wtvkELHcWe5HumUi3;
• – LRPChoyN8qLWENjo1dUjk2bESZjE7bQ6sp;
• – 0x03B70DC31abF9cF6C1cf80bfEEB322e8d3dbb4ca;
• – rGmdGrMjvxt6S3VjF4M78U2YMLPR6XLPsn;
• – 0x4F53C9882Ba87d2D7c525dF2aEF2540efb6e32e5.

З часу запуску розширення в магазині Chrome 3 грудня 2018 року зловмисники вкрали 23,23550279 BTC. Інформація буде правдивою, якщо припустити, що ці адреси використовуються тільки для цього розширення, і через них проходили тільки крадені кошти).

Які секрети ми виявили?

• адреси зловмисників;
• сервери і домени;
• коментарі до коду російською мовою – дуже ймовірно, що за цим стоять росіяни.

Ми також прикрили домен сервера зловмисників, тому ті, у кого встановлено розширення, більше не стануть його жертвами. Але ми все одно закликаємо видалити розширення браузера і змінити пошту, паролі у всіх криптосервисах, якими користуєтеся.

Розширення виконувало шкідливі дії на наступних платформах: Exmo, Coinbase, Hbg / Huobi, HitBTC, Binance, LocalBitcoins, Blockchain, і .

Як убезпечити себе?

• Не встановлюєте незрозумілі програми, які настирливо запитують права доступу;
• якщо ви підозрюєте, то певно так і є;
• періодично аналізуйте розширення, які встановлені у вашому браузері, і видалити невикористовувані;
• якщо в браузері є розширення, яким ви користуєтеся, пошукайте версію/альтернативу з відкритим кодом або вимкніть автоматичне оновлення з магазину Chrome. Перевірте код або знайдіть надійного людини, який зможе це зробити.

Більше інформації шукайте в .