La extensión de Google Chrome para el trading de criptomonedas apunta a usuarios de Solana

Los atacantes están utilizando una extensión maliciosa de Google Chrome disfrazada de herramienta de conveniencia para sacar pequeñas porciones de SOL de los bolsillos de usuarios desprevenidos de Solana.

Según una investigación realizada por la empresa de ciberseguridad Socket, la extensión de Chrome sigue activa actualmente en la Chrome Web Store bajo el nombre de "Crypto Copilot".

Se está promocionando como un potenciador de productividad que permite a los usuarios realizar intercambios de Solana directamente desde su feed X.

Actualmente, la extensión tiene una calificación de 1 estrella y solo 18 descargas al momento de esta edición, pero está activa desde el 18 de junio de 2024.

¿Cómo está Crypto Copilot dirigido a los usuarios de Solana?

A primera vista, Crypto Copilot cumple con todos los requisitos de una herramienta legítima, integrando diversas APIs de terceros como DexScreener para datos de precios, Helius para acceso a infraestructuras Solana, y Phantom o Solflare para conexiones de monedero.

Estas características hacen que parezca y funcione como una auténtica interfaz de trading descentralizada, mientras que absorbe silenciosamente una comisión oculta en segundo plano.

"Ninguno de estos servicios es malicioso por sí solo, pero juntos crean una fachada convincente alrededor del problema central: cada intercambio incluye una transferencia de SOL no revelada a una cartera personal codificada en fija", escribió Socket.

Para ejecutar operaciones, utiliza Raydium, un exchange descentralizado en Solana que permite a los usuarios intercambiar tokens.

Pero entre bastidores, añade una instrucción extra que transfiere una pequeña parte de la transacción a la cartera del atacante.

A simple vista, el usuario solo ve los detalles esperados del intercambio.

Las pantallas de confirmación de la cartera simplemente resumen la transacción sin mostrar instrucciones individuales, sin dar indicios evidentes de que se estén ejecutando dos acciones al mismo tiempo.

Al ejecutar operaciones, se pide a los usuarios que solo aprueben la transacción una vez, ejecutándose ambas instrucciones legítimas y maliciosas como una sola operación atómica.

El análisis on-chain realizado por Socket encontró hasta ahora solo un número limitado de transferencias a la cartera del atacante, lo que el equipo atribuye al hecho de que la extensión no ha sido ampliamente promovida o aún está en las primeras fases de distribución.

Sin embargo, la extensión ha sido diseñada para escalar de forma eficiente, y Socket advierte que el daño potencial aumenta con el tamaño y la frecuencia de las operaciones.

"Los usuarios con mayores posiciones o actividad de trading de alto volumen podrían sufrir pérdidas sustancialmente mayores si dependen sin saberlo de esta extensión para intercambios rutinarios. Con el tiempo, el atacante acumula SOL directamente dentro de su monedero personal, convirtiendo la extensión en un mecanismo de ingresos recurrentes en lugar de una interfaz DEX legítima", añadió Socket.

Socket ha instado a los usuarios a revisar cada instrucción de transacción antes de firmar, especialmente en Solana, donde comportamientos maliciosos como este solo pueden detectarse si un usuario expande e inspecciona manualmente cada instrucción.

Quienes ya hayan instalado Crypto Copilot deberían migrar sus fondos a una cartera limpia y revocar inmediatamente todos los sitios previamente conectados.

Las extensiones maliciosas de Chrome siguen apareciendo

Crypto Copilot es solo una de las muchas extensiones engañosas de Chrome que han aparecido en la Chrome Web Store.

Desde principios del año pasado, el número de ataques con extensiones maliciosas ha ido en aumento, algunos logrando recaudar millones en fondos robados.

El año pasado, Invezz informó sobre Bull Checker, otra extensión falsa que atacaba a usuarios de Solana disfrazándose de utilidad de memecoin.

En realidad, secuestraba transacciones para redirigir fondos de los usuarios a una cartera controlada por los atacantes.

Mientras tanto, en agosto, investigadores de Koi Security descubrieron que un grupo conocido como GreedyBear había desviado más de un millón de dólares en criptomonedas utilizando extensiones maliciosas de navegador, malware y sitios web fraudulentos en una operación coordinada que abarcaba múltiples vectores de ataque.