L'estensione Google Chrome per il trading crypto si rivolge agli utenti Solana

Gli aggressori stanno usando un'estensione malizzata di Google Chrome mascherata da strumento di scambio per sottrarre piccole porzioni di SOL alle tasche degli ignari utenti Solana.

Secondo una ricerca condotta dall'azienda di cybersecurity Socket, l'estensione Chrome è ancora attiva sul Chrome Web Store con il nome "Crypto Copilot."

Viene commercializzato come un potenziatore della produttività che permette agli utenti di eseguire scambi Solana direttamente dal loro feed X.

L'estensione attualmente ha una valutazione di 1 stella e solo 18 download al momento della stampa, ma è attiva dal 18 giugno 2024.

In che modo Crypto Copilot si rivolge agli utenti Solana?

A prima vista, Crypto Copilot soddisfa tutte le caratteristiche di uno strumento legittimo, integrando varie API di terze parti come DexScreener per i dati sui prezzi, Helius per l'accesso all'infrastruttura Solana e Phantom o Solflare per le connessioni wallet.

Queste caratteristiche lo fanno apparire e funzionare come una vera interfaccia di trading decentralizzata, mentre silenziosamente assorbe una commissione nascosta in background.

"Nessuno di questi servizi è malevolo di per sé, ma insieme creano una facciata convincente attorno al problema centrale: ogni swap include un trasferimento SOL non divulgato su un portafoglio personale hardcodato," ha scritto Socket.

Per l'esecuzione delle operazioni, utilizza Raydium, uno exchange decentralizzato su Solana che permette agli utenti di scambiare token.

Ma dietro le quinte, aggiunge un'istruzione extra che trasferisce una piccola parte della transazione al wallet dell'attaccante.

In superficie, l'utente vede solo i dettagli attesi dello swap.

Le schermate di conferma del wallet riassumono semplicemente la transazione senza mostrare istruzioni individuali, senza fornire alcuna indicazione evidente che due azioni vengano eseguite insieme.

Durante l'esecuzione delle operazioni, agli utenti viene chiesto di approvare la transazione una sola volta, con entrambe le istruzioni legittime e malevole che vengono eseguite insieme come un'unica operazione atomica.

L'analisi on-chain condotta da Socket ha rilevato finora solo un numero limitato di trasferimenti al wallet dell'attaccante, cosa che il team attribuisce al fatto che l'estensione non è stata ampiamente promossa o è ancora nelle prime fasi di distribuzione.

Tuttavia, l'estensione è stata progettata per scalare in modo efficiente, con Socket che avverte che il potenziale danno aumenta con la dimensione e la frequenza degli scambi.

"Gli utenti con partecipazioni maggiori o attività di trading ad alto volume potrebbero subire perdite sostanzialmente maggiori se inconsapevolmente si affidano a questa estensione per swap di routine. Col tempo, l'attaccante accumula SOL direttamente all'interno del proprio wallet personale, trasformando l'estensione in un meccanismo di ricavi ricorrenti piuttosto che in una vera interfaccia DEX," ha aggiunto Socket.

Socket ha invitato gli utenti a rivedere ogni istruzione di transazione prima di firmare, specialmente su Solana, dove comportamenti dannosi come questo possono essere individuati solo se l'utente espande e ispeziona manualmente ogni istruzione.

Chi ha già installato Crypto Copilot dovrebbe migrare i propri fondi su un wallet pulito e revocare immediatamente tutti i siti precedentemente collegati.

Le estensioni dannose di Chrome continuano a emergere

Crypto Copilot è solo una delle tante estensioni ingannevoli di Chrome che sono emerse sul Chrome Web Store.

Dall'inizio dello scorso anno, il numero di attacchi con estensioni dannose è in aumento, alcuni dei quali sono riusciti a incassare milioni in fondi rubati.

L'anno scorso, Invezz ha riportato Bull Checker, un'altra falsa estensione che prendeva di mira gli utenti Solana mascherandosi da utilità memecoin.

In realtà, dirottava transazioni per reindirizzare i fondi degli utenti verso un wallet controllato dagli attaccanti.

Nel frattempo, ad agosto, i ricercatori di Koi Security hanno scoperto che un gruppo noto come GreedyBear aveva sottratto oltre 1 milione di dollari in criptovalute utilizzando estensioni di browser dannose, malware e siti web truffa in un'operazione coordinata che abbraccia molteplici vettori di attacco.