Google Chrome-udvidelsen til kryptohandel henvender sig til Solana-brugere

Angribere bruger en ondsindet Google Chrome-udvidelse, forklædt som et handelsværktøj, til at stjæle små dele af forfaldsgebyret fra intetanende Solana-brugere.

Ifølge forskning udført af cybersikkerhedsfirmaet Socket er Chrome-udvidelsen stadig tilgængelig på Chrome Web Store under navnet "Crypto Copilot."

Det markedsføres som en produktivitetsfremmende effekt, der lader brugere udføre Solana-handler direkte fra deres X-feed.

Udvidelsen har i øjeblikket en 1-stjernet vurdering og kun 18 downloads på tidspunktet for udgivelsen, men har været live siden 18. juni 2024.

Hvordan retter Crypto Copilot sig mod Solana-brugere?

Ved første øjekast opfylder Crypto Copilot alle krav til et legitimt værktøj og integrerer forskellige tredjeparts-API'er som DexScreener til prisdata, Helius til Solana-infrastrukturadgang og Phantom eller Solflare til wallet-forbindelser.

Disse funktioner får det til at ligne og fungere som en ægte decentraliseret handelsgrænseflade, mens det stille og roligt trækker en skjult gebyr væk i baggrunden.

"Ingen af disse tjenester er ondsindede i sig selv, men sammen skaber de en overbevisende facade omkring kerneproblemet: hver swap inkluderer en uoplyst SOL-overførsel til en hardkodet personlig wallet," skrev Socket.

Til at gennemføre handler bruger den Raydium, en decentraliseret børs på Solana, som tillader brugere at bytte tokens.

Men bag kulisserne tilføjer den en ekstra instruktion, der overfører en lille andel af transaktionen til angriberens wallet.

På overfladen ser brugeren kun de forventede swap-detaljer.

Wallet-bekræftelsesskærmene opsummerer blot transaktionen uden at vise individuelle instruktioner, uden nogen åbenlys indikation af, at to handlinger udføres samtidig.

Når handler udføres, bliver brugerne kun bedt om at godkende transaktionen én gang, hvor både de legitime og de skadelige instruktioner udføres sammen som en enkelt atomisk operation.

On-chain-analyse udført af Socket fandt indtil videre kun et begrænset antal overførsler til angriberens wallet, hvilket teamet tilskriver, at udvidelsen enten ikke er blevet bredt promoveret eller stadig er i de tidlige faser af distributionen.

Udvidelsen er dog bygget til at skalere effektivt, og Socket advarer om, at den potentielle skade stiger med størrelsen og hyppigheden af handlerne.

"Brugere med større beholdninger eller høj handelsaktivitet kan lide væsentligt større tab, hvis de ubevidst benytter denne forlængelse til rutinemæssige swaps. Over tid akkumulerer angriberen SOL direkte i sin personlige wallet, hvilket gør udvidelsen til en løbende indtægtsmekanisme i stedet for et legitimt DEX-interface," tilføjede Socket.

Socket har opfordret brugere til at gennemgå hver transaktionsinstruktion før underskrivelse, især på Solana, hvor ondsindet adfærd som denne kun kan opdages, hvis brugeren manuelt udvider og inspicerer hver instruktion.

De, der allerede har installeret Crypto Copilot, bør overføre deres midler til en ren wallet og straks tilbagekalde alle tidligere tilknyttede sider.

Ondsindede Chrome-udvidelser fortsætter med at dukke op

Crypto Copilot er blot én af mange vildledende Chrome-udvidelser , der er dukket op i Chrome Web Store.

Siden starten af sidste år er antallet af angreb med ondsindede udvidelser steget, hvor nogle har formået at tjene millioner i stjålne midler.

Sidste år rapporterede Invezz om Bull Checker, endnu en falsk udvidelse, der målrettede Solana-brugere ved at forklæde sig som et memecoin-værktøj.

I virkeligheden kaprede den transaktioner for at omdirigere brugermidler til en angriberkontrolleret wallet.

I mellemtiden opdagede forskere hos Koi Security i august, at en gruppe kendt som GreedyBear havde suget kryptovaluta til en værdi af over 1 million dollars ved hjælp af ondsindede browserudvidelser, malware og svindelwebsites i en koordineret operation, der spændte over flere angrebsvektorer.