Die Google-Chrome-Erweiterung für den Kryptohandel richtet sich an Solana-Nutzer

Angreifer nutzen eine bösartige Google-Chrome-Erweiterung, die als Handels-Convenience-Tool getarnt ist, um kleine Teile der SOL aus den Taschen ahnungsloser Solana-Nutzer zu stehlen.

Laut einer Studie der Cybersicherheitsfirma Socket ist die Chrome-Erweiterung derzeit noch im Chrome Web Store unter dem Namen "Crypto Copilot" verfügbar.

Es wird als Produktivitätssteiger vermarktet, der es Nutzern ermöglicht, Solana-Trades direkt aus ihrem X-Feed auszuführen.

Die Erweiterung hat derzeit eine 1-Stern-Bewertung und nur 18 Downloads zum Zeitpunkt der Veröffentlichung, ist aber seit dem 18. Juni 2024 online.

Wie richtet sich Crypto Copilot an Solana-Nutzer?

Auf den ersten Blick erfüllt Crypto Copilot alle Anforderungen eines legitimen Tools und integriert verschiedene Drittanbieter-APIs wie DexScreener für Preisdaten, Helius für den Zugriff auf Solana-Infrastruktur sowie Phantom oder Solflare für Wallet-Verbindungen.

Diese Funktionen lassen es wie eine echte dezentrale Handelsoberfläche aussehen und funktionieren, während es im Hintergrund leise eine versteckte Gebühr abzieht.

"Keiner dieser Dienste ist für sich genommen bösartig, aber zusammen schaffen sie eine überzeugende Fassade rund um das Kernproblem: Jeder Tausch beinhaltet eine nicht offengelegte SOL-Übertragung auf eine fest codierte persönliche Wallet", schrieb Socket.

Für die Durchführung von Trades wird Raydium verwendet, eine dezentrale Börse auf Solana, die es Nutzern ermöglicht, Token zu tauschen.

Hinter den Kulissen wird jedoch eine zusätzliche Instruktion hinzugefügt, die einen kleinen Anteil der Transaktion auf die Wallet des Angreifers überträgt.

Oberflächlich betrachtet sieht der Nutzer nur die erwarteten Tauschdetails.

Die Bestätigungsbildschirme der Wallet fassen die Transaktion einfach zusammen, ohne einzelne Anweisungen zu zeigen, ohne dass es offensichtlich darauf hindeutet, dass zwei Aktionen gleichzeitig ausgeführt werden.

Beim Ausführen von Trades werden die Nutzer nur einmal gebeten, die Transaktion zu genehmigen, wobei sowohl die legitimen als auch die bösartigen Anweisungen zusammen als eine einzige atomare Operation ausgeführt werden.

Eine von Socket durchgeführte On-Chain-Analyse ergab bisher nur eine begrenzte Anzahl von Übertragungen in die Wallet des Angreifers, was das Team darauf zurückführt, dass die Erweiterung entweder nicht breit beworben wurde oder sich noch in einem frühen Distributionsstadium befindet.

Die Erweiterung wurde jedoch so gebaut, dass sie effizient skalierbar ist, wobei Socket warnt, dass der potenzielle Schaden mit Größe und Häufigkeit der Trades zunimmt.

"Nutzer mit größeren Beständen oder hohem Handelsvolumen könnten deutlich höhere Verluste erleiden, wenn sie unwissentlich auf diese Verlängerung für routinemäßige Swaps angewiesen sind. Im Laufe der Zeit sammelt der Angreifer SOL direkt in seiner persönlichen Wallet an, wodurch die Erweiterung zu einem wiederkehrenden Einnahmemechanismus statt zu einer legitimen DEX-Schnittstelle wird", fügte Socket hinzu.

Socket hat Nutzer aufgefordert, jede Transaktionsanweisung vor dem Signieren zu überprüfen, insbesondere auf Solana, wo bösartiges Verhalten nur entdeckt werden kann, wenn ein Benutzer jede Instruktion manuell erweitert und inspiziert.

Wer bereits Crypto Copilot installiert hat, sollte sein Geld in eine saubere Wallet übertragen und alle zuvor verbundenen Seiten sofort widerrufen.

Bösartige Chrome-Erweiterungen tauchen weiterhin auf

Crypto Copilot ist nur eine von vielen irreführenden Chrome-Erweiterungen , die im Chrome Web Store aufgetaucht sind.

Seit Anfang letzten Jahres ist die Zahl der Angriffe mit bösartigen Erweiterungen gestiegen, wobei einige es schaffen, Millionen an gestohlenen Geldern einzubringen.

Letztes Jahr berichtete Invezz über Bull Checker, eine weitere gefälschte Erweiterung, die Solana-Nutzer ansprach, indem sie sich als Memecoin-Utility tarnte.

In Wirklichkeit kaperte es Transaktionen, um Nutzergelder auf eine von Angreifern kontrollierte Geldbörse umzuleiten.

Unterdessen entdeckten Forscher von Koi Security bereits im August, dass eine Gruppe namens GreedyBear über eine Million Dollar an Kryptowährung mittels bösartiger Browser-Erweiterungen, Malware und Betrugsseiten in einer koordinierten Operation mit mehreren Angriffsvektoren abgesaugt hatte.