Gefährliche Browser-Erweiterung, oder Wie leicht verlieren Ihre kryptowährung?

Wir in regelmäßigen Abständen daran erinnern, wie richtig kryptowährung, nicht fallen auf die Tricks und in der Regel nicht verlieren Ihre wertvollen Münzen. Die Methoden der Betrüger entwickeln sich von Jahr zu Jahr und jetzt einige von Ihnen sind so schlau und getarnt, dass sogar technisch подкованному Benutzer schwierig zu erkennen, die Gefahr. Heute detailliert untersuchen das Thema bösartige Erweiterungen für den Browser. Es scheint, Sie sollten das Leben erleichtern, aber oft machen es nur noch schlimmer.

Unten — übersetzung eines Artikels des Benutzers Harry an .

installieren Sie Nicht alle in einer Reihe

Vor Kurzem stieß ich auf ein Projekt, verspricht das Cashback mit jeder Transaktion, einschließlich der zentralisierten Handel an den Börsen. Um 5 Prozent zurück, genug Browser-Erweiterung installieren. Wenn ein Angebot zu gut klingt, um wahr zu sein, ist es wahrscheinlich, dass das ist Falschmeldung. Zum Zeitpunkt der Entdeckung bei der Anwendung CCB-Cash-ID in Chrome liachincjagnalnmahhaioaogkngbmhf wurde 181 Benutzer. Jetzt die App aus dem Store verschwunden.

Produkt, verspricht Rückerstattung 5 Prozent von allen Ihren блокчейн-Transaktionen. Zu gut, um wahr zu sein.

Ich habe den Code und fand in ihm malicious Verhalten. Bösartige Erweiterung interessiert sind nur in den folgenden Münzen: , , , , , und .

Welche Berechtigungen fordert der Erweiterung?

Nach der Installation der Erweiterung fordert den Schreibzugriff auf verschiedene Domänen, darunter Github, Exmo, Coinbase, Binance, HitBTC, LocalBitcoins und anderen. Es fordert den Zugriff auf alle geöffneten Tabs und auf Ihre cookies – diese Erlaubnis oft missbrauchen, stehlen Ihr Vermögen mit verschiedenen Börsen und Brieftaschen.

Was macht es?

Wenn in einem Satz zusammenfassen, dann die Dateiendung Stiehlt alle Ihre vertraulichen Informationen in Abhängigkeit von der Domäne. Zum Beispiel auf Binance es Stiehlt Login-Daten, zwei-Faktor-Authentifizierung-Codes und CSRF-Token, dann wird automatisch versucht, Münzen bringen.

überlegen Sie, wie dies geschieht.

Schritt 1. Diebstahl von Login-Daten

Die Erweiterung enthält den Code, der ausgelöst wird beim drücken auf die Taste aufrufen und Stiehlt die eingegeben E-Mail und Passwort, speichert Sie im LocalStorage und Einsendung auf Ihren Server ohne Störung des normalen Prozesses der Anmeldung an die Börse.

Code, Stiehlt Login-Daten für Binance

Schritt 2. Diebstahl-Codes zwei-Faktor-Authentifizierung

Wenn Sie eine Anmeldung, die Erweiterung verfolgt die zwei-Faktor-Authentifizierung anmelden und warten, bis das Formular gesendet wird. Danach wird es übersetzt den eingegebenen Code auf Ihrem Server zusammen mit dem gespeicherten LocalStorage-Mail und dem Passwort aus dem ersten Schritt.

Code, Code Stiehlt zwei-Faktor-Authentifizierung bei der Anmeldung

Nach der Anmeldung die Erweiterung alle 5 Minuten wird Ihnen erfragen, wenn Sie Google Authenticator-Code, der gesendet wird auf seinem Server. Dies gibt Angreifern mehr versuche, wenn Sie versuchen, in Ihr Konto ein und verpassen den Code, der ging bei der Anmeldung.

zwei-Faktor-Authentifizierung Code-Abfrage auf Google Binance

Schritt 3. Plunder CSRF-Tokens und Fazit

Wenn Sie gerade auf Binance Ihre Bilanz, die Erweiterung entführt aus Ihrer Datei cookies CSRF-Token und sendet es an den Server. Danach macht Sie eine POST-Anforderung, um zu halten die Balance von Münzen, und Sie versuchen, ruhig zu bringen.

Die Erweiterung entführt CSRF-Token, um Ihnen über die Funktion md5() und machen Sie eine POST-Anforderung /exchange/private/yserAssetTransferBtc für die Inbesitznahme Ihrer Balance. Nach dieser Erweiterung sortiert die Münzen nach dem Wert und versucht, Sie zu bringen.

Wenn die Erweiterung erkennt die Münze mit einem Saldo von mehr 0.01 BTC, die Sie bringen, es bringt Sie auf die Seite der Ausgabe Münzen mit dem höchsten Wert, wird automatisch bevölkern die Auszahlung ein und klickt auf die automatische Ausgabe. Es ist auch размажет Bildschirm Binance, indem Sie in den Körper des Dokuments ein div-Element, indem er ihn in den Vordergrund, indem Sie den Text und Bestätigung des Codes die zwei-Faktor-Authentifizierung. Dies ist notwendig, um Sie zu überzeugen, dass Sie verlassen würden. All dies geschieht sehr schnell, und Sie merken gar nicht, dass Sie von der Seite weiter geleitet.

der Benutzer glaubt, dass seine Session abgeschlossen

Dann der Benutzer die zwei-Faktor-Authentifizierung Code, um die «Restore» - Sitzung (nicht ahnend, dass er bestätigt die Ausgabe von Münzen an die Adresse des übeltäters), dann wird er gebeten den post zu überprüfen. Natürlich, der Benutzer erhält lediglich eine E-Mail über die Bestätigung der Ausgabe, aber wenn er nicht Lesen wird der Inhalt der Nachricht und klickt einfach den Link, dann bestätigt die Schlussfolgerung und startet den Prozess. Das gleiche passiert auf Coinbase: periodische Abfragen des Codes zwei-Faktor-Authentifizierung und die Entführung von cookies und Login-Daten.

ein Beispiel für einen eingebetteten Browser-Erweiterung für Formular Code-Eingabe zwei-Faktor-Authentifizierung auf Coinbase

Wenn Sie sehen Sie Ihre Rechnung, berechnet Erweiterung der Vermögenswert mit dem höchsten Wert, auch indem die Kosten für all Ihre Vermögenswerte auf Ihren Server, und versuchen, dieses Guthaben. Es sieht so aus.

Die Dateiendung ändert sich die Struktur des Ausgabefensters, um den Benutzer nicht eingeben, diese Daten (Hashwert MD5 – während des Tests habe ich es auf die Kontrolle). Während des Tests hatte ich 100 Pfund, so dass Sie 3 Prozent verlassen.

Dies geschieht bei jedem laden einer Seite mit Ihren Konten, soder Benutzer kann versehentlich starten Fazit. Verschmitzt. Somit ist die Erweiterung Stiehlt Ihre Login-Daten für die Börse und versucht, Sie zu bestätigen überweisungen Angreifer.

Wohin gehen die Mittel?

Die Angreifer haben die folgenden Adressen:

• – 16EegrNMdZ9Rxku6Za5neEFjMW57wkQr1s;
• – 0x03b70dc31abf9cf6c1cf80bfeeb322e8d3dbb4ca;
• – 1PCh7w6LdcEv1sWd5wtvkELHcWe5HumUi3;
• – LRPChoyN8qLWENjo1dUjk2bESZjE7bQ6sp;
• – 0x03B70DC31abF9cF6C1cf80bfEEB322e8d3dbb4ca;
• – rGmdGrMjvxt6S3VjF4M78U2YMLPR6XLPsn;
• – 0x4F53C9882Ba87d2D7c525dF2aEF2540efb6e32e5.

Seit dem Start der Erweiterung im Chrome Store am 3. Dezember 2018 die Angreifer Stahlen 23,23550279 BTC. Information wird wahr, wenn wir davon ausgehen, dass diese Adressen werden nur für diese Erweiterung, und durch Sie wurden nur Diebesgut Mittel).

Was sind die Geheimnisse, die wir gefunden haben?

• Adressen von übeltätern;
• Server und domains;
• Kommentare an den Code in russischer Sprache – es ist sehr wahrscheinlich, dass dahinter die Russen.

Wir auch vertuscht Domain Server der übeltäter, warum diejenigen, die eine Erweiterung installiert haben, werden nicht mehr sein Opfer. Aber wir haben noch ermutigen entfernen Sie die Erweiterung aus Ihrem Browser und ändern Sie die E-Mail und auch Passwörter in allen криптосервисах, die in Gebrauch sind.

Erweiterung durchgeführt bösartige Aktivitäten auf den folgenden Plattformen: Exmo, Coinbase, Hbg / Huobi, HitBTC, Binance, LocalBitcoins, Blockchain, und .

Wie Sie sich schützen?

• Nicht installieren unverständliche Programme, die aufdringlich Berechtigungen anfordern;
• wenn Sie etwas vermuten, dann ist es wahrscheinlich so ist es;
• analysieren Sie in regelmäßigen Abständen Erweiterungen, die installiert in Ihrem Browser, und löschen Sie nicht benötigte;
• wenn im Browser gibt es eine Erweiterung, die Sie verwenden, suchen Sie die Version/Alternative Open-Source oder deaktivieren Sie automatische Updates aus dem Chrome Web Store. Überprüfen Sie den Code ein oder suchen Sie eine zuverlässige Person, die in der Lage, dies zu tun.

Weitere Daten suchen .