Uma das extensões para Google Chrome, A carteira Shitcoin injeta um código JavaScript especial em páginas da web. Usando este código, invasores roubam senhas e chaves privadas de carteiras e serviços de criptomoeda.
O primeiro addon problemático apareceu em 9 de dezembro. A extensão recebeu o identificador ckkgmccefffnbbalkmbbgebbojjogffn.
Os desenvolvedores da Shitcoin Wallet afirmam que a extensão permite aos usuários gerenciar Éter (ETH) moeda, assim como EthereumERC20 fichas.
“Os usuários podem instalar a extensão do Chrome e gerenciar moedas ETH e tokens ERC20 em seus navegadores, ou eles podem instalar um aplicativo de desktop do Windows, se quiserem gerenciar seus fundos fora do ambiente arriscado de um navegador”, - diz a descrição da carteira Shitcoin.
Também existe um aplicativo semelhante para Windows, no entanto, os invasores se concentram no complemento.
Na verdade, descobriu-se que a Shitcoin Wallet tem objetivos completamente diferentes.
De acordo com Harry Danley, chefe de segurança do Minha Cripto plataforma, a extensão contém código malicioso.
Este complemento é perigoso para usuários do navegador Chrome por dois motivos:
"Primeiro: Quaisquer fundos (Moedas ETH e tokens baseados em ERC0) gerenciados diretamente dentro da extensão estão em risco. A extensão envia as chaves privadas de todas as carteiras criadas ou gerenciadas através de sua interface para um site de terceiros localizado em erc20wallet[.]obrigado. Segundo, a extensão também injeta ativamente código JavaScript malicioso quando os usuários navegam para cinco plataformas de gerenciamento de criptomoedas conhecidas e populares. Este código rouba credenciais de login e chaves privadas, dados que são enviados para o mesmo erc20wallet[.]tk site de terceiros”, - explicou Harry Denley.
De acordo com uma análise do código malicioso no ZDNet, o processo é o seguinte:
- Os usuários instalam a extensão do Chrome
- Extensão do Chrome solicita permissão para injetar JavaScript (JS) código em 77 sites
- Quando os usuários navegam para qualquer um desses 77 sites, a extensão carrega e injeta um arquivo JS adicional de: https://carteira erc20[.]tk/js/content_.js
- Este arquivo JS contém código ofuscado
- O código é ativado em cinco sites: MyEtherWallet. com, Idex.Mercado, Binance.org, NeoTracker.io, e Switcheo.exchange
- Uma vez ativado, o código JS malicioso registra as credenciais de login do usuário, procura chaves privadas armazenadas nos painéis dos cinco serviços, e, finalmente, envia os dados para erc20wallet[.]obrigado
Não está claro se a equipe da Shitcoin Wallet é responsável pelo código malicioso ou se a extensão do Chrome foi hackeada por terceiros. No entanto, por exemplo, o ToTok messenger foi quase especialmente criado em colaboração com os serviços especiais dos Emirados Árabes Unidos para rastreamento total de usuários.