Google Chrome -laajennus kryptokauppaan kohdistuu Solanan käyttäjiin

Hyökkääjät käyttävät haitallista Google Chrome -laajennusta, joka on naamioitu kaupankäynnin helppokäyttöiseksi työkaluksi, varastaakseen pieniä osia SOL:sta huomaamattomien Solana-käyttäjien taskuista.

Kyberturvallisuusyritys Socketin tekemän tutkimuksen mukaan Chrome-laajennus on yhä käytössä Chrome Web Storessa nimellä "Crypto Copilot."

Sitä markkinoidaan tuottavuuden parantajana, jonka avulla käyttäjät voivat suorittaa Solana-kauppoja suoraan X-syötteestään.

Laajennuksella on tällä hetkellä 1 tähden luokitus ja vain 18 latausta lehdistöaikaan mennessä, mutta se on ollut käytössä 18. kesäkuuta 2024 lähtien.

Miten Crypto Copilot kohdistuu Solanan käyttäjiin?

Ensisilmäyksellä Crypto Copilot täyttää kaikki laillisen työkalun vaatimukset, integroiden erilaisia kolmannen osapuolen rajapintoja kuten DexScreenerin hintatietojen osalta, Heliuksen Solanan infrastruktuurin hallintaan sekä Phantomin tai Solflare:n lompakkoyhteyksiin.

Nämä ominaisuudet saavat sen näyttämään ja toimimaan aidolta hajautetulta kaupankäyntiliittymältä, samalla kun se hiljaisesti siirtää piilotetun maksun taustalla.

"Yksikään näistä palveluista ei itsessään ole haitallinen, mutta yhdessä ne luovat vakuuttavan kulissin ydinkysymyksen ympärille: jokainen vaihto sisältää paljastamattoman SOL-siirron kovakoodattuun henkilökohtaiseen lompakkoon," Socket kirjoitti.

Kauppojen suorittamiseen se käyttää Raydiumia, hajautettua pörssiä Solanalla, jonka avulla käyttäjät voivat vaihtaa tokeneita.

Mutta kulissien takana siihen lisätään ylimääräinen ohje, joka siirtää pienen osan tapahtumasta hyökkääjän lompakkoon.

Pintapuolisesti käyttäjä näkee vain odotetut vaihtotiedot.

Lompakon vahvistusnäytöt yksinkertaisesti tiivistävät tapahtuman ilman yksittäisiä ohjeita, eikä anna mitään selvää merkkiä siitä, että kaksi toimintoa suoritetaan samanaikaisesti.

Kauppoja suorittaessa käyttäjiltä pyydetään hyväksymään tapahtuma vain kerran, ja sekä lailliset että haitalliset käskyt suoritetaan yhtenä atomioperaationa.

Socketin tekemä ketjuanalyysi löysi toistaiseksi vain rajallisen määrän siirtoja hyökkääjän lompakkoon, minkä tiimi katsoo johtuvan siitä, että laajennusta ei ole laajasti mainostettu tai se on vielä jakelun alkuvaiheessa.

Laajennus on kuitenkin rakennettu tehokkaasti skaalautumaan, ja Socket varoittaa, että mahdolliset vahingot kasvavat kauppojen koon ja tiheyden myötä.

"Käyttäjät, joilla on suuremmat omistukset tai suuri kaupankäyntivolyymi, voivat kärsiä huomattavasti suurempia tappioita, jos he tietämättään luottavat tähän laajennukseen rutiininomaisissa swapeissa. Ajan myötä hyökkääjä kerää SOL:ia suoraan henkilökohtaiseen lompakkoonsa, jolloin laajennus muuttuu toistuvaksi tulomekanismiksi eikä lailliseksi DEX-rajapinnaksi," Socket lisäsi.

Socket on kehottanut käyttäjiä tarkistamaan jokaisen transaktio-ohjeen ennen allekirjoittamista, erityisesti Solanalla, jossa tällainen haitallinen toiminta voidaan havaita vain, jos käyttäjä laajentaa ja tarkastaa jokaisen ohjeen manuaalisesti.

Niiden, jotka ovat jo asentaneet Crypto Copilotin, tulisi siirtää varansa puhtaaseen lompakkoon ja peruuttaa kaikki aiemmin yhdistetyt sivustot välittömästi.

Haitalliset Chrome-laajennukset jatkuvat esiin

Crypto Copilot on vain yksi monista harhaanjohtavista Chrome-laajennuksista , jotka ovat ilmestyneet Chrome Web Storeen.

Viime vuoden alusta lähtien haitallisia laajennuksia käyttävien hyökkäysten määrä on kasvanut, ja osa on onnistunut keräämään miljoonia varastetuista varoista.

Viime vuonna Invezz raportoi Bull Checkeristä, toisesta väärennetystä laajennuksesta, joka kohdistui Solanan käyttäjiin naamioitumalla memecoin-työkaluksi.

Todellisuudessa se kaappasi tapahtumat ohjatakseen käyttäjien varoja hyökkääjien hallitsemaan lompakkoon.

Samaan aikaan elokuussa Koi Securityn tutkijat paljastivat, että ryhmä nimeltä GreedyBear oli vienyt yli miljoonan dollarin arvosta kryptovaluuttaa käyttämällä haitallisia selainlaajennuksia, haittaohjelmia ja huijaussivustoja koordinoidussa operaatiossa, joka ulottui useille hyökkäysvektoreille.