Extensão do Google Chrome para trading de criptomoedas tem como alvo usuários da Solana

Atacantes estão usando uma extensão maliciosa do Google Chrome disfarçada de ferramenta de conveniência de negociação para roubar pequenas porções do SOL dos bolsos de usuários desavisados da Solana.

De acordo com uma pesquisa realizada pela empresa de cibersegurança Socket, a extensão do Chrome ainda está disponível na Chrome Web Store sob o nome "Crypto Copilot."

Ele está sendo comercializado como um aprimorador de produtividade que permite aos usuários executar trocas Solana diretamente do feed X.

Atualmente, a extensão tem uma avaliação de 1 estrela e apenas 18 downloads até o momento da publicação, mas está disponível desde 18 de junho de 2024.

Como o Crypto Copilot está direcionado aos usuários da Solana?

À primeira vista, o Crypto Copilot preenche todos os requisitos de uma ferramenta legítima, integrando várias APIs de terceiros como DexScreener para dados de preços, Helius para acesso à infraestrutura Solana e Phantom ou Solflare para conexões de carteira.

Esses recursos fazem com que ele pareça e funcione como uma interface de negociação descentralizada genuína, enquanto ele silenciosamente extrai uma taxa oculta em segundo plano.

"Nenhum desses serviços é malicioso por si só, mas juntos criam uma fachada convincente em torno da questão central: toda troca inclui uma transferência de prazo de prescrição não divulgada para uma carteira pessoal codificada", escreveu Socket.

Para executar operações, ele utiliza o Raydium, uma exchange descentralizada na Solana que permite aos usuários trocar tokens.

Mas, nos bastidores, ele adiciona uma instrução extra que transfere uma pequena parte da transação para a carteira do atacante.

Na superfície, o usuário vê apenas os detalhes esperados da troca.

As telas de confirmação da carteira simplesmente resumem a transação sem revelar instruções individuais, sem indicação óbvia de que duas ações estão sendo executadas em conjunto.

Ao executar negociações, os usuários são solicitados a aprovar a transação apenas uma vez, com as instruções legítimas e maliciosas sendo executadas juntas como uma única operação atômica.

A análise on-chain conduzida pela Socket encontrou apenas um número limitado de transferências para a carteira do atacante até o momento, o que a equipe atribui ao fato de que a extensão ou não foi amplamente divulgada ou ainda está nos estágios iniciais de distribuição.

No entanto, a extensão foi construída para escalar de forma eficiente, com o Socket alertando que o potencial dano aumenta com o tamanho e a frequência das trocas.

"Usuários com participações maiores ou atividade de negociação de alto volume podem sofrer perdas substancialmente maiores se, sem saber, dependerem dessa extensão para swaps rotineiros. Com o tempo, o atacante acumula SOL diretamente dentro de sua carteira pessoal, transformando a extensão em um mecanismo de receita recorrente em vez de uma interface legítima de DEX", acrescentou Socket.

A Socket tem incentivado os usuários a revisarem todas as instruções de transação antes de assinar, especialmente no Solana, onde comportamentos maliciosos como esse só podem ser detectados se o usuário expandir e inspecionar manualmente cada instrução.

Quem já instalou o Crypto Copilot deve migrar seus fundos para uma carteira limpa e revogar imediatamente todos os sites previamente conectados.

Extensões maliciosas do Chrome continuam a aparecer

Crypto Copilot é apenas uma das muitas extensões enganosas do Chrome que surgiram na Chrome Web Store.

Desde o início do ano passado, o número de ataques com extensões maliciosas tem aumentado, com alguns conseguindo arrecadar milhões em fundos roubados.

No ano passado, a Invezz reportou sobre o Bull Checker, outra extensão falsa que mirava usuários da Solana disfarçada como um utilitário de memecoin.

Na realidade, ele sequestrava transações para redirecionar fundos dos usuários para uma carteira controlada pelo atacante.

Enquanto isso, em agosto, pesquisadores da Koi Security descobriram que um grupo conhecido como GreedyBear havia desviado mais de 1 milhão de dólares em criptomoedas usando extensões maliciosas de navegador, malwares e sites fraudulentos em uma operação coordenada que abrangeu múltiplos vetores de ataque.