Cryptomonnaie

Chasse aux escroqueries de Huobi – MyCrypto – Medium

Chasse aux escroqueries de Huobi - MyCrypto - Medium


Comme je n’ai pas rencontré autant de domaines de phishing / arnaque sur Huobi, j’ai décidé d’en chercher d’autres. Je suis tombé sur un jeton ERC20 qui annonçait un site Web projeté à environ 20 000 adresses Ethereum.

Avec quelques capitaux, c'est une méthode pour annoncer dans l'espace de blockchain.

Le jeton annonçant un site web

Si nous regardons l’adresse qui finance les transactions (via 19 adresses proxy), c’est-à-dire: 0x0b88a083dc7b8ac2a84eba02e4acb2e5f2d3063c) et création du contrat à partir de 0x15ccc4ab2cfdb27fc4818bf481f7ed0352d8c6b3, nous pouvons voir que le mauvais acteur a:

  • Création de 18 contrats entre les blocs 6 708 041 et 7 249 374
  • Toutes les adresses de contrat sauf 1 annoncent huobiairdrop.com - l'autre est juste un test.
  • 62 132 adresses ont été envoyées à un jeton qui annonce huobiairdrop.com

Voici une liste d’adresses de contrat créées par 0x15cc ... c6b3 et la publicité huobiairdrop.com à partir du bloc 7 362 119.

0x219b9040eb7d8d8c2e8e84b87ce9ac1c83071980
0xb331728743d45a6470b8798320f2c173d41e4bfb
0x6727816581215d1a7389bb1e9afc7ae7bf2fd5d1
0x596f83e44d6e62fc886222afea468e14f4c3fec7
0x36794518b3ef84c4b1a40af9540a03292f692c38
0x8fa86218ec14bb207b5ae404c60a836c3d7cbb3a
0x7f30f5955b7605b96421e7c170edbbc45b373cd9
0x53e00c6a2887f71bed5340ce369675ddaff4f42a
0x9c6625dc8333b633c40a0c2f2a49379363763ba0
0x6c3bb918a1242ba4e32908d7bf4addd7ef651e74
0x7d4bf678252c1c85aa46e032bf70e76439ee1708
0x697a260ba6365ab241f7aef057da3587f0c255ca
0x7db95f8d8d80a75d768a2f8b0be392ff901d3fc8
0x409de70d8ad0135e6fd91f343899b93d903c998b
0xbd806a9a7ad8ce9d36048861dd63a295a3c9d5f2
0x203daffa152dafaf2a859029f729b364fc8540f8

Voici un tas d’adresses proxy utilisées pour déposer les jetons - tous financés par le 0x15cc ... c6b3 address - toutes ces adresses proxy ont des valeurs similaires (après avoir été financées avec 5 ETH et avoir envoyé X transactions) donc si tout est écrit dans le script.

0xb179778356bebad15bd4b238f1384288cb477378
0x65d471996e4925e0acd113c6bb47cbf96fbc581f
0x2e5b15ea47129fdcc351360c896563ff0aa5b2fc
0x0e464ba1d597ac772b86fb5a93a82bb397e8c438
0x0b19448105c56dc68244e5715b5a78b5e06ccc9d
0x24e55688d74f902e478e638b8bf4339cd92adc8b
0x0ef221408918939419e03f48b126436fd72051ca
0x5ed89913028bb07d3c0b0cb68a78234027563ef8
0xe82ac313c98be7c7f921fee5ef52da868fdb79dd
0x348413142a330edc6e8f4fb932ab656a63a1a9b4
0x4fbf7701b3078b5bed6f3e64df3ae09650ee7de5
0x691da2826ac32bbf2a4b5d6f2a07ce07552a9a8e
0xa33b95ea28542ada32117b60e4f5b4cb7d1fc19b
0xe06ed65924db2e7b4c83e07079a424c8a36701e5
0x1b1b391d1026a4e3fb7f082ede068b25358a61f2
0xbbfd8041ebde22a7f3e19600b4bab4925cc97f7d
0xecd91d07b1b6b81d24f2a469de8e47e3fe3050fd
0x2ef1b70f195fd0432f9c36fb2ef7c99629b0398c
0x0b88a083dc7b8ac2a84eba02e4acb2e5f2d3063c
0xc2e90df58f0d93d677f0d8e7e5afe3b1584bb5ab

Regarder huobiairdrop.com

TL; DR: vous devez installer une extension de navigateur qui injecte des scripts malveillants dans MyEtherWallet.com et Blockchain.com en détournant les en-têtes CSP et les requêtes réseau.

Alors, j’ai chargé une machine virtuelle et frappé le domaine et j’ai vu une vue légitime de Google Alert qui me laissait perplexe - je ne savais pas que Google avait détecté Cryptojacking comme ça…

Un faux avertissement de cryptojacking

J’ai décidé d’activer MetaMask et ils ont modifié l’affichage pour simuler un avertissement MetaMask, ce que je sais que MetaMask ne met pas en garde de la sorte.

Un faux avertissement MetaMask

Quoi qu’il en soit, j’ai décidé d’afficher le code source et j’ai constaté qu’il me liait à une extension de navigateur Google Chrome - ID d’extension:coigcglbjbcoklkkfnombicaacmkphcm (NoCoin - Mineurs en pièces de monnaie)

230 utilisateurs exécutant actuellement cette extension de navigateur illicite - Dernière mise à jour le 8 mars 2019

Je pensais que c'était très étrange - Google ET MetaMask «renvoyaient» les utilisateurs à cette extension de navigateur. J'ai décidé d'enquêter.

En regardant dans “NoCoin - Block Coin Miners”

J'ai décidé de lancer une nouvelle machine virtuelle (car je ne savais pas ce que cela ferait et je venais d'une source non fiable / suspecte) et de mener une enquête.

Dès le début, il semblait avoir fait ce qu'il fallait - différents scripts de CryptoJacking (CoinHive, MinerAlt, WebminerPool) avaient été détectés et il y avait une belle interface utilisateur pour me faire savoir qu'il faisait son travail.

L’interface utilisateur de l’extension qui montre qu’elle fait le travail

Je pensais que cela devait être plus compliqué depuis mon voyage utilisateur suspect pour l'installer.

J'ai regardé dans la source de celui-ci et remarqué deux choses:

  • Il surveille / pirate toutes les demandes Web en attachant un EventListener à onBeforeRequest et onHeadersReceived
  • En fonction de l'activité du réseau, il construirait un domaine sur le .Haut TLD (connu pour héberger beaucoup de spam selon SPAMHAUS)

Cela semblait étrange car il semblait que ce code était hors de portée de la détection de CryptoJacking. J'ai décidé de déboguer ceci.

Premièrement, je voulais savoir ce que faisait EventListener pour onHeadersReceived parce qu'il remplaçait la Contenu-Sécurité-Politique valeur.

La logique utilisée pour modifier le CSP pour certaines demandes

J'ai décidé de modifier le code pour qu'il exécute la logique à chaque demande.

Beurk! Ok, donc, il écrase le CSP pour qu'il puisse injecter «en toute sécurité» du code provenant de sources non fiables… semble très hors de portée pour une extension de détection CryptoJacking.

Voyons maintenant ce qu’il fait avec le onBeforeRequest EventListener. Il vérifie si l'URL correspond à un hachage spécifique, puis indique à Chrome de charger une ressource distincte à l'aide de redirectUrl

La logique utilisée pour charger des ressources étrangères via redirectUrl

Mais cette logique ne fonctionne que si le hachage de l'URL est l'un des 2, mais que sont ces hachages?

echo -n blockchain.com | md5sum
425d95e3b753c1afb3871c66a858a4c9
echo -n myetherwallet.com | md5sum
5fd0d2c183e9184f63409aee2371700e

Ok, alors il détourne les demandes de choses sur blockchain.com et myetherwallet.com domaines.

Voici une liste des domaines touchés par l’extension et contrôlant le mauvais acteur.

blockchainanalyticticscdn.com
5b0c4f7f0587346ad14b9e59704c1d9a.top
925e40815f619e622ef71abc6923167f.top

Regarder MyEtherWallet.com

Alors maintenant nous savons myetherwallet.com est une cible et détourne la politique du CSP d’injecter des ressources étrangères, voyons ce qu’elle fait.

Depuis que le code cherche maîtriser ou tronçon sous-chaîne dans la ressource, la cible principale est la vintage.myetherwallet.com domaine pour écraser le etherwallet-master.js fichier.

Nous pouvons y jeter un coup d'oeil en n'autorisant pas le détournement de CSP.

Nous savons donc maintenant que le JS principal est remplacé par l’extension de navigateur malveillant. Entrons notre clé privée et voyons où ils l’envoient.

Le script l'envoie à un script PHP dans le cadre d'une chaîne de requête

Et c’est tout, notre clé privée a été envoyée aux mauvais acteurs.

Notez que depuis que le CSP a été détourné, nous ne recevons aucun avis de tentative de chargement de ressources étrangères. Le logiciel fonctionne comme prévu et le certificat EV est entièrement intact. Ce qui est encore plus malin, c’est que l’extension du navigateur fait ce pour quoi elle avait été annoncée, de sorte qu’elle puisse passer inaperçue pendant un certain temps à un utilisateur non paranoïaque.

Regarder Blockchain.com

Nous savons aussi que blockchain.com est une cible, modifions le script pour détourner maintenant le CSP et voir ce qu’il essaie de charger.

Nous pouvons voir qu’il essaie de charger des versions malveillantes de; manifest.1550618679966.js , vendor.b18ffdf080.js , app.46d4854459.jsdans la logique de connexion.

Que puis-je faire pour rester en sécurité?

Nous devons faire attention à ce que nous faisons. Il vous incombe d’assurer votre sécurité et votre sécurité maximales. Timeo Danaos et dona ferentes.

  • N'installez jamais une extension de navigateur capable de modifier le DOM que vous / la source approuvée n'a pas audité.
  • Ne faites pas aveuglément confiance aux avertissements légitimes pour vous obliger à installer un logiciel (les avertissements de MetaMask auront toujours leur extension de navigateur dans la barre d’URL (comme l’avertissement de phishing))
  • N'entrez jamais vos secrets en ligne - utilisez toujours un mécanisme de signature hors connexion (à savoir: Grand Livre, TREZOR ou signataire de parité)

Les domaines faisant partie de cette campagne ont été répertoriés sur EtherScamDB;

Ils ont été mis sur la liste noire sur MetaMask et EtherAddressLookup pour vous empêcher de les visiter.

-Harry

Show More

SupportIvy

SupportIvy.com : Un lieu pour partager le savoir et mieux comprendre le monde. Meilleure plate-forme de support gratuit pour vous, Documentation &Tutoriels par les experts.

Related Articles

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Close
Close