Google Chrome-extensie voor cryptohandel richt zich op Solana-gebruikers

Aanvallers gebruiken een kwaadaardige Google Chrome-extensie, vermomd als een handelsgemaksinstrument, om kleine delen van de verjaarsloeg uit de zakken van nietsvermoedende Solana-gebruikers te stelen.

Volgens onderzoek uitgevoerd door cybersecuritybedrijf Socket is de Chrome-extensie momenteel nog steeds actief in de Chrome Web Store onder de naam "Crypto Copilot."

Het wordt gepromoot als een productiviteitsvermeerder waarmee gebruikers Solana-trades direct vanuit hun X-feed kunnen uitvoeren.

De extensie heeft momenteel een beoordeling van 1 ster en slechts 18 downloads op het moment van publicatie, maar is sinds 18 juni 2024 live.

Hoe richt Crypto Copilot zich op Solana-gebruikers?

Op het eerste gezicht voldoet Crypto Copilot aan alle eisen van een legitiem tool, met integratie van diverse externe API's zoals DexScreener voor prijsgegevens, Helius voor toegang tot Solana-infrastructuur, en Phantom of Solflare voor walletverbindingen.

Deze functies laten het eruitzien en functioneren als een echte gedecentraliseerde handelsinterface, terwijl het stilletjes een verborgen vergoeding op de achtergrond afzuigt.

"Geen van deze diensten is op zichzelf kwaadaardig, maar samen vormen ze een overtuigend façade rond het kernprobleem: elke swap bevat een niet-gespecificeerde SOL-overdracht naar een hardgecodeerde persoonlijke wallet," schreef Socket.

Voor het uitvoeren van transacties gebruikt het Raydium, een gedecentraliseerde beurs op Solana waarmee gebruikers tokens kunnen ruilen.

Maar achter de schermen voegt het een extra instructie toe die een klein deel van de transactie overdraagt naar de wallet van de aanvaller.

Op het eerste gezicht ziet de gebruiker alleen de verwachte swapdetails.

De bevestigingsschermen van de wallet vatten de transactie eenvoudig samen zonder individuele instructies te tonen, zonder duidelijke aanwijzingen dat twee acties samen worden uitgevoerd.

Bij het uitvoeren van transacties wordt gebruikers slechts één keer gevraagd de transactie goed te keuren, waarbij zowel de legitieme als de kwaadaardige instructies samen als één atomaire operatie worden uitgevoerd.

On-chain analyse uitgevoerd door Socket vond tot nu toe slechts een beperkt aantal overboekingen naar de wallet van de aanvaller, wat het team toeschrijft aan het feit dat de uitbreiding niet breed is gepromoot of nog in een vroeg stadium van distributie verkeert.

De uitbreiding is echter gebouwd om efficiënt op te schalen, waarbij Socket waarschuwt dat de potentiële schade toeneemt naarmate de handel wordt omhoog en frequenter.

"Gebruikers met grotere bezittingen of handelsactiviteit met een hoog volume kunnen aanzienlijk hogere verliezen lijden als ze onbewust op deze verlenging vertrouwen voor routinematige swaps. In de loop van de tijd verzamelt de aanvaller SOL direct in zijn persoonlijke portemonnee, waardoor de extensie een terugkerend inkomstenmechanisme wordt in plaats van een legitieme DEX-interface," voegde Socket toe.

Socket heeft gebruikers aangespoord om elke transactie-instructie te controleren voordat ze ondertekenen, vooral op Solana, waar kwaadaardig gedrag alleen kan worden opgemerkt als een gebruiker elke instructie handmatig uitbreidt en inspecteert.

Degenen die Crypto Copilot al hebben geïnstalleerd, moeten hun geld overzetten naar een schone wallet en alle eerder verbonden sites onmiddellijk intrekken.

Kwaadaardige Chrome-extensies blijven verschijnen

Crypto Copilot is slechts een van de vele misleidende Chrome-extensies die zijn verschenen in de Chrome Web Store.

Sinds begin vorig jaar is het aantal aanvallen met kwaadaardige extensies toegenomen, waarbij sommige miljoenen aan gestolen fondsen hebben opgehaald.

Vorig jaar rapporteerde Invezz over Bull Checker, een andere nep-extensie die Solana-gebruikers targette door zich te vermommen als een memecoin-hulpprogramma.

In werkelijkheid kaapte het transacties om gebruikersgeld om te leiden naar een door aanvallers gecontroleerde wallet.

Ondertussen ontdekten onderzoekers van Koi Security in augustus dat een groep genaamd GreedyBear meer dan 1 miljoen dollar aan cryptocurrency had afgetapt met kwaadaardige browserextensies, malware en oplichtingswebsites in een gecoördineerde operatie die meerdere aanvalsvectoren omvatte.