Un grupo de expertos detectaron varias extensiones para el navegador Google Chrome, como en otros navegadores, estaban secuestrando varios tipos de billeteras de criptomonedas. Las extensiones eran utilizadas para robar “seed phrases” (utilizadas para recuperar fondos), claves privadas y archivos de almacenamiento de claves, para luego ser enviadas a los atacantes por medio de una solicitud HTTP POST.
Las marcas de billeteras de criptomonedas (Cripto-Wallets) que estas extensiones mantenían como objetivo eran:
- Ledger - https://www.ledger.com
- Trezor - https://trezor.io
- Jaxx - https://jaxx.io
- Electrum - https://electrum.org
- MyEtherWallet - https://myetherwallet.com
- MetaMask - https://metamask.io
- Exodus - https://www.exodus.io
- KeepKey - https://shapeshift.io/keepkey
Los investigadores, aunque descubrieron en las extensiones 14 comandos de control (C2s) únicos, descubrieron que los miembros detrás de ellas son los mismos actores, de la siguiente forma:
- Emplearon métodos de análisis de huellas digitales
- El tipo de los paquetes de datos enviados a los C2s
- Así como 80% de los dominios de los C2s fueron registrados en el periodo de Marzo a Abril, donde el más antiguo (ledger.productions) tiene la mayoría de conexiones hacia otros C2s en términos de huellas digitales.
Ejemplo de conexiones al C2 más antiguo desde otros C2s
Los atacantes también crearon un grupo de usuarios falsos en Google, con el fin de dar puntuaciones altas a la aplicación de 5 estrellas y dando comentarios positivos cortos como “good”, “helpful app” o “legit extension” sobre las extensiones para incentivar a los usuarios a descargarlas.
Las extensiones comenzaron a llegar a la tienda de forma paulatina en el mes de Febrero 2020, con un incremento en Marzo y disparandose durante el mes de Abril.
February 2020: 2.04%
March 2020: 34.69%
April 2020: 63.26%
Donde los investigadores destacan que hay dos posibilidades, el análisis de ellos está mejorando o la cantidad de extensiones maliciosas dirigidas hacia usuarios de criptomonedas está creciendo exponencialmente.
El análisis de sus datos arrojaron que la mayoría de extensiones están enfocadas a las billeteras digitales de la siguiente manera:
Ledger - 57%
MyEtherWallet -22%
Trezor - 8%
Electrum - 4%
KeepKey - 4%
Jaxx - 2%
Los expertos reportaron la situación a Google, resultando en la eliminación de hasta 49 aplicaciones en 24 horas, desde el momento en que iniciaron.
Si eres usuario de extensiones para criptomonedas, deberías seguir las siguientes recomendaciones:
- Debes familiarizarte con los permisos que tienen las extensiones instaladas, yendo a “chrome://extensions/” y haz click en la pestaña detalles (Details) en cada extensión.
- Comprende y analiza el riesgo de cada permiso.
- Remueve la extensión, si consideras que los permisos son excesivos o comprometedores para el uso de esa extensión.
- Límite a las extensiones para que se ejecuten sólo cuando haces click en el icono de la extensión y en ciertos dominios de confianza.
- Considerar usar un navegador diferente para el uso de datos de criptomonedas y otro para uso personal.
Indicadores de Compromiso (IoCs)
Servidores de Comando y Control (C2s)
http://ledgerwallet.xyz/api.php
https://v1.ledgers.tech
https://coinomibeta.online/post/connexion.php
https://completssl.com/functions.php
https://completssl.com/ssnd_1.php
https://completssl.com/ssnd_el.php
https://completssl.com/ssnd_ex.php
https://completssl.com/ssnd_t.php
https://cxext.org/6721e14f0257a64f1f0a9114197d59ba/
https://docs.google.com/forms/d/1PXmiKeuYFdNS8D1q5yU1Cb7_9TwZQMbMCTl2PfSYhLI/formResponse
https://docs.google.com/forms/d/e/1FAIpQLSc1DTYAqXYnGTaUH0AIJa-rC2lk7V5nsE6tEdGIKXTKNm36HQ/formResponse
https://docs.google.com/forms/d/e/1FAIpQLScuQg9Rpct1ahMotYT12xBAt3MmcubQg-duV1a0BZ_vo1Tj4g/formResponse
https://ledger.productions/api_v1/
https://mecxanalytic.co/api_keystore.php
https://mecxanalytic.co/api_mnemonic.php
https://mecxanalytic.co/api_private.php
https://trxsecuredapi.co/api_ledger.php
https://usermetrica.org/api_v1/
http://vh368451.eurodir.ru/api/v1/
https://walletbalance.org/api_v1/
ws://analytics-server296.xyz:4367
Fuente:
COMENTARIOS