Extensia Google Chrome pentru tranzacționarea crypto vizează utilizatorii Solana

Atacatorii folosesc o extensie malițioasă a Google Chrome, deghizată într-un instrument de conveniență în tranzacționare, pentru a fura mici porțiuni din SOL din buzunarele utilizatorilor Solana neștiutori.

Potrivit cercetărilor realizate de firma de securitate cibernetică Socket, extensia Chrome este încă activă în prezent pe Chrome Web Store sub numele "Crypto Copilot".

Este promovat ca un amplificator de productivitate care permite utilizatorilor să execute tranzacții Solana direct din fluxul lor X.

Extensia are în prezent un rating de 1 stea și doar 18 descărcări la momentul redactării, dar este activă din 18 iunie 2024.

Cum se adresează Crypto Copilot utilizatorilor Solana?

La prima vedere, Crypto Copilot bifează toate criteriile unui instrument legitim, integrând diverse API-uri terțe precum DexScreener pentru date de preț, Helius pentru acces la infrastructura Solana și Phantom sau Solflare pentru conexiuni de portofel. 

Aceste funcții îl fac să arate și să funcționeze ca o interfață autentică de tranzacționare descentralizată, în timp ce extrage discret o taxă ascunsă în fundal.

"Niciunul dintre aceste servicii nu este rău intenționat în sine, dar împreună creează o fațadă convingătoare în jurul problemei de bază: fiecare schimb include un transfer SOL nedezvăluit către un portofel personal hardcodeat," a scris Socket.

Pentru efectuarea tranzacțiilor, folosește Raydium, un exchange descentralizat pe Solana care permite utilizatorilor să schimbe token-uri.

Dar în culise, adaugă o instrucțiune suplimentară care transferă o mică parte din tranzacție către portofelul atacatorului.

La suprafață, utilizatorul vede doar detaliile așteptate ale schimbului.

Ecranele de confirmare ale portofelului rezumă pur și simplu tranzacția fără a arăta instrucțiuni individuale, fără a oferi o indicație evidentă că două acțiuni sunt executate împreună.

La executarea tranzacțiilor, utilizatorilor li se cere să aprobe tranzacția o singură dată, atât instrucțiunile legitime, cât și cele malițioase executându-se împreună ca o singură operație atomică.

Analiza on-chain realizată de Socket a găsit până acum doar un număr limitat de transferuri către portofelul atacatorului, ceea ce echipa atribuie faptului că extensia fie nu a fost promovată pe scară largă, fie se află încă în stadiile incipiente de distribuție.

Totuși, extensia a fost construită pentru a se scala eficient, Socket avertizând că potențialele daune cresc odată cu dimensiunea și frecvența schimburilor.

"Utilizatorii cu dețineri mai mari sau activitate de tranzacționare cu volum mare ar putea suferi pierderi substanțial mai mari dacă se bazează fără să știe pe această extensie pentru swap-uri de rutină. În timp, atacatorul acumulează SOL direct în portofelul său personal, transformând extensia într-un mecanism de venituri recurente, nu într-o interfață DEX legitimă," a adăugat Socket.

Socket a îndemnat utilizatorii să revizuiască fiecare instrucțiune de tranzacție înainte de semnare, în special pe Solana, unde astfel de comportamente malițioase pot fi detectate doar dacă utilizatorul extinde și inspectează manual fiecare instrucțiune.

Cei care au instalat deja Crypto Copilot ar trebui să-și migreze fondurile într-un portofel curat și să revoce imediat toate site-urile conectate anterior.

Extensiile Chrome malițioase continuă să apară

Crypto Copilot este doar una dintre multele extensii înșelătoare pentru Chrome care au apărut pe Chrome Web Store.

De la începutul anului trecut, numărul atacurilor cu extensii malițioase a crescut, unele reușind să încaseze milioane de dolari furate.

Anul trecut, Invezz a raportat despre Bull Checker, o altă extensie falsă care viza utilizatorii Solana, deghizându-se într-un utilitar memecoin.

În realitate, a deturnat tranzacții pentru a redirecționa fondurile utilizatorilor către un portofel controlat de atacatori.

Între timp, în august, cercetătorii de la Koi Security au descoperit că un grup cunoscut sub numele de GreedyBear a sifonat criptomonede în valoare de peste 1 milion de dolari folosind extensii de browser malițioase, malware și site-uri escrocherii, într-o operațiune coordonată care a acoperit mai mulți vectori de atac.