Découverte de fausses extensions de navigateur qui ciblent les utilisateurs de Ledger, Trezor, MEW, Metamask, etc.

Utiliser une méthode de phishing familière pour cibler de nouvelles marques.

Nous gardons un œil sur le type d’attaques qui frappent quotidiennement les utilisateurs de crypto-monnaie et écrivons souvent sur nos résultats pour aider à éduquer la communauté. Nous avons constaté divers types d’attaques contre les utilisateurs, allant de simples escroqueries par échange de confiance au détournement de carte SIM, en passant par la compromission et le vol de fonds sur des comptes d’échange.

Récemment, nous avons rencontré de grandes campagnes proposant de fausses extensions de navigateur aux utilisateurs et ciblant des marques bien connues via Google Ads et d’autres canaux. Bien qu’il ne s’agisse pas d’un nouveau vecteur d’attaque – et nous avons déjà parlé d’extensions de navigateur malveillantes -, les marques ciblées sont nouvelles.

Les objectifs de la recherche sont:

• Sensibiliser les «utilisateurs quotidiens» sur les différents vecteurs d’attaque
• Rapport sur les grandes campagnes pour sensibiliser les gens
• Donnez aux utilisateurs de tous les jours des exemples réels d’attaques afin qu’ils soient plus susceptibles d’appliquer des contrôles de sécurité sur leurs actifs
• Aide à la fermeture de l’infrastructure des campagnes frauduleuses
• Recueillir des renseignements pour alimenter des outils personnalisés pour faciliter la détection avant que les victimes ne soient victimes

Nous avons trouvé une gamme d’extensions ciblant les marques et les utilisateurs de crypto-monnaie. Bien que les extensions fonctionnent toutes de la même manière, la marque est différente en fonction de l’utilisateur qu’elles ciblent. Les marques que nous avons trouvées ciblées par des extensions malveillantes sont:

• registre
• Trezor
• Jaxx
• Electrum
• MyEtherWallet
• MetaMask
• Exode
• KeepKey

Essentiellement, les extensions recherchent des secrets – phrases mnémoniques, clés privées et fichiers de clés. Une fois que l’utilisateur les a entrés, l’extension envoie une requête HTTP POST à ​​son backend, où les mauvais acteurs reçoivent les secrets et vident les comptes.

Nous avons identifié 14 uniques C2s (également connu sous le nom de serveur de commande et de contrôle qui continue de communiquer avec votre système compromis) mais en utilisant l’analyse d’empreintes digitales, nous pouvons relier des C2 spécifiques les uns aux autres pour conclure lesquels des kits de phishing ont le même mauvais acteur derrière eux. Certains kits ont renvoyé les données hameçonnées vers un formulaire GoogleDocs. Cependant, la plupart ont hébergé leur propre backend avec des scripts PHP personnalisés. Les C2 identifiés sont:

• analytics-server296.xyz
• coinomibeta.online
• completssl.com
• cxext.org
• ledger.productions
• ledgerwallet.xyz
• mecxanalytic.co
• networkforworking.com
• trxsecuredapi.co
• usermetrica.org
• walletbalance.org
• ledgers.tech
• vh368451.eurodir.ru
• xrpclaim.net

Alors que certains domaines sont relativement anciens, 80% des C2 ont été enregistrés en mars et avril 2020 (une répartition uniforme). Le domaine le plus ancien (ledger.productions) a le plus de «connexions» avec les autres C2 en termes d’empreintes digitales, nous avons donc des indications sur le même kit backend (ou les mêmes acteurs derrière cela) pour la majorité des extensions.

Nous avons également inspecté certains des autres C2 pour les fichiers journaux communs, et alors que la plupart d’entre eux ne les avaient pas disponibles sur la racine Web, certains émettant des 403, il y en avait un qui appartenait à trxsecuredapi.co qui a donné quelques petits aperçu (si nous prenons tout cela pour argent comptant):

• Le serveur utilisé pour ce C2 est trxsqdmn
• Le courriel de l’administrateur suit ce masque: «b – 0 @ r – r.ru» – indiquant potentiellement des acteurs basés en Russie
• Le premier journal a été 29 mars 2020 10:43:14 America / New_York
• Le C2 héberge des fichiers autres que ceux pour collecter les secrets hameçonnés

Ci-dessous, une vidéo du fonctionnement d’une extension malveillante ciblant les utilisateurs de MyEtherWallet. Cela ressemble à votre expérience typique de MyEtherWallet jusqu’à ce que vous saisissiez vos secrets. Une fois que vous les avez soumis, l’application malveillante renvoie vos secrets au serveur contrôlé par le ou les mauvais acteurs avant de vous renvoyer à la vue par défaut, puis ne fait rien, ce qui se traduit par:

• Un utilisateur frustré et soumettant à nouveau des secrets (peut-être même différents)
• Un utilisateur désinstallant l’extension et oubliant les ramifications de la saisie de ses secrets jusqu’à ce que son portefeuille soit vidé de ses fonds – ce qui se produira probablement après la suppression de l’extension du magasin afin qu’il ne puisse pas rechercher où se trouvait son trou de sécurité.

Certaines des extensions ont eu un réseau de faux utilisateurs qui évaluent l’application avec 5 étoiles et donnent des commentaires positifs sur l’extension pour inciter un utilisateur à la télécharger. La plupart des commentaires positifs des mauvais acteurs étaient de mauvaise qualité, tels que «bon», «application utile» ou «extension légitime». Une extension s’est démarquée en ayant le même «copypasta» environ 8 fois, créé par différents utilisateurs, partageant une introduction sur ce qu’est le Bitcoin et expliquant pourquoi le [malicious] MyEtherWallet était leur extension de navigateur préférée (Remarque: MEW ne prend pas en charge Bitcoin).

Il y avait aussi un réseau d’utilisateurs vigilants qui ont écrit des critiques légitimes sur les extensions malveillantes – cependant, il est difficile de dire s’ils ont été eux-mêmes victimes des escroqueries par hameçonnage ou s’ils ont simplement aidé la communauté à ne pas télécharger.

Google Webstore a une section de rapport et avec nos rapports et avec l’aide de PhishFort, nous avons supprimé les extensions dans les 24 heures.

Une analyse de notre ensemble de données suggère que les extensions malveillantes ont commencé à frapper lentement le magasin en février 2020, ont augmenté les versions jusqu’en mars 2020, puis ont rapidement publié plus d’extensions en avril 2020.

• Février 2020: 2,04% ont été publiés ce mois-ci à partir de notre ensemble de données
• Mars 2020: 34,69% ont été publiés ce mois-ci à partir de notre ensemble de données
• Avril 2020: 63,26% ont été publiés ce mois-ci à partir de notre ensemble de données

Cela signifie que notre détection s’améliore beaucoup ou que le nombre d’extensions malveillantes frappant les magasins de navigateur pour cibler les utilisateurs de crypto-monnaie est croissance exponentielle.

Une analyse de notre ensemble de données suggère que Ledger est la marque la plus ciblée – sans spéculer, il est difficile de dire pourquoi.

• registre – 57% des extensions de navigateur malveillantes dans notre ensemble de données
• MyEtherWallet – 22% des extensions de navigateur malveillantes dans notre ensemble de données
• Trezor – 8% des extensions de navigateur malveillantes dans notre ensemble de données
• Electrum – 4% des extensions de navigateur malveillantes dans notre ensemble de données
• KeepKey – 4% des extensions de navigateur malveillantes dans notre ensemble de données
• Jaxx – 2% d’extensions de navigateur malveillantes dans notre ensemble de données

Où sont passés les fonds volés?

Nous avons envoyé des fonds à quelques adresses et soumis les secrets des extensions malveillantes. Cependant, ils n’ont pas été automatiquement balayés. Cela peut être dû à plusieurs raisons:

• Les mauvais acteurs ne s’intéressent qu’aux comptes de grande valeur
• Les mauvais acteurs doivent balayer manuellement les comptes

Même si nos adresses n’ont pas été balayées, il y a eu des rapports publics d’utilisateurs sur la perte de fonds à des extensions de navigateur malveillantes:

Si vous pensez avoir été victime d’une extension de navigateur malveillante, veuillez déposer un rapport à l’adresse https://cryptoscamdb.org/report/.

Comment puis-je rester en sécurité?

Bien qu’il existe de nombreux vecteurs d’attaque différents pour les utilisateurs quotidiens de crypto-monnaie qui ne se limitent pas aux extensions de navigateur malveillantes, les éléments suivants ne traiteront que les extensions de navigateur malveillantes.

Je suis un utilisateur quotidien de crypto-monnaie.

• Familiarisez-vous avec les autorisations de chacune des extensions de votre navigateur en accédant à chrome://extensions/ et en cliquant sur l’onglet «Détails» pour chaque extension.
• Comprenez les risques associés à chaque autorisation.
• Envisagez de supprimer l’extension si elle dispose d’autorisations qui, selon vous, sont hors de portée de l’utilisation de l’extension.
• Limiter les extensions à exécuter uniquement sur certains domaines ou lorsque vous cliquez sur l’icône d’extension dans le coin supérieur droit de votre navigateur.
• LIRE: Un faux anti-cryptominer ciblant MyEtherWallet[.]com et Blockchain[.]domaines com – https://.com/mycrypto/hunting-huobi-scams-662256d76720.
• LIRE: Une fausse extension de cashback ciblant les échanges de crypto-monnaie populaires – https://.com/mycrypto/the-dangers-of-malicious-browser-extensions-ef9c10f0128f.
• Envisagez de créer un utilisateur de navigateur distinct que vous utilisez uniquement pour les données de crypto-monnaie – cela limitera toute portée de surface d’attaque et une séparation des préoccupations (profils personnels et de crypto-monnaie), augmentant la confidentialité liée à votre profil de crypto-monnaie.

Je suis une équipe / entreprise fournissant une solution aux utilisateurs de tous les jours.

• Envisagez de surveiller les magasins d’extensions de navigateur si votre produit répond aux critères que nous avons ciblés – en utilisant soit la surveillance en interne, soit un partenariat avec un tiers qui enquêtera et supprimera ces extensions en votre nom.
• Rappelez et imposez aux utilisateurs de garder leurs secrets en sécurité.
• Dépréciez l’utilisation de secrets bruts (phrases mnémoniques, fichiers de clés, clés privées) avec votre produit et promouvez d’autres mécanismes de signature.
• Créez une liste publique de tous vos produits et liens afin que les utilisateurs disposent d’une source fiable d’informations fiables.

ID d’extension:

afephhbbcdlgdehhddfnehfndnkfbgnm
agfjbfkpehcnceblmdahjaejpnnnkjdn
ahikdohkiedoomaklnohgdnmfcmbabcn
ahlfiinafajfmciaajgophipcfholmeh
akglkgdiggmkilkhejagginkngocbpbj
anihmmejabpaocacmeodiapbhpholaom
bhkcgfbaokmhglgipbppoobmoblcomhh
bkanfnnhokogflpnhnbfjdhbjdlgncdi
bpfdhglfmfepjhgnhnmclbfiknjnfblb
bpklfenmjhcjlocdicfadpfppcgojfjp
ckelhijilmmlmnaljmjpigfopkmfkoeh
dbcfhcelmjepboabieglhjejeolaopdl
dbcfokmgampdedgcefjahloodbgakkpl
ddohdfnenhipnhnbbfifknnhaomihcip
dehindejipifeaikcgbkdijgkbjliojc
dkhcmjfipgoapjamnngolidbcakpdhgf
effhjobodhmkbgfpgcdabfnjlnphakhb
egpnofbhgafhbkapdhedimohmainbiio
ehlgimmlmmcocemjadeafmohiplmgmei
epphnioigompfjaknnaokghgcncnjfbe
gbbpilgcdcmfppjkdociebhmcnbfbmod
glmbceclkhkaebcadgmbcjihllcnpmjh
gpffceikmehgifkjjginoibpceadefih
idnelecdpebmbpnmambnpcjogingdfco
ifceimlckdanenfkfoomccpcpemphlbg
ifmkfoeijeemajoodjfoagpbejmmnkhm
igkljanmhbnhedgkmgpkcgpjmociceim
ijhakgidfnlallpobldpbhandllbeobg
ijohicfhndicpnmkaldafhbecijhdikd
jbfponbaiamgjmfpfghcjjhddjdjdpna
jfamimfejiccpbnghhjfcibhkgblmiml
jlaaidmjgpgfkhehcljmeckhlaibgaol
kjnmimfgphmcppjhombdhhegpjphpiol
lfaahmcgahoalphllknbfcckggddoffj
mcbcknmlpfkbpogpnfcimfgdmchchmmg
mciddpldhpdpibckghnaoidpolnmighk
mjbimaghobnkobfefccnnnjedoefbafl
mnbhnjecaofgddbldmppbbdlokappkgk
nicmhgecboifljcnbbjlajbpagmhcclp
njhfmnfcoffkdjbgpannpgifnbgdihkl
noilkpnilphojpjaimfcnldblelgllaa
obcfoaeoidokjbaokikamaljjlpebofe
oejafikjmfmejaafjjkoeejjpdfkdkpc
ogaclpidpghafcnbchgpbigfegdbdikj
opmelhjohnmenjibglddlpmbpbocohck
pbilbjpkfbfbackdcejdmhdfgeldakkn
pcmdfnnipgpilomfclbnjpbdnmbcgjaf
pedokobimilhjemibclahcelgedmkgei
plnlhldekkpgnngfdbdhocnjfplgnekg

C2s:

http://ledgerwallet.xyz/api.php
https://v1.ledgers.tech
https://coinomibeta.online/post/connexion.php
https://completssl.com/functions.php
https://completssl.com/ssnd_1.php
https://completssl.com/ssnd_el.php
https://completssl.com/ssnd_ex.php
https://completssl.com/ssnd_t.php
https://cxext.org/6721e14f0257a64f1f0a9114197d59ba/
https://docs.google.com/forms/d/1PXmiKeuYFdNS8D1q5yU1Cb7_9TwZQMbMCTl2PfSYhLI/formResponse
https://docs.google.com/forms/d/e/1FAIpQLSc1DTYAqXYnGTaUH0AIJa-rC2lk7V5nsE6tEdGIKXTKNm36HQ/formResponse
https://docs.google.com/forms/d/e/1FAIpQLScuQg9Rpct1ahMotYT12xBAt3MmcubQg-duV1a0BZ_vo1Tj4g/formResponse
https://ledger.productions/api_v1/
https://mecxanalytic.co/api_keystore.php
https://mecxanalytic.co/api_mnemonic.php
https://mecxanalytic.co/api_private.php
https://trxsecuredapi.co/api_ledger.php
https://usermetrica.org/api_v1/
http://vh368451.eurodir.ru/api/v1/
https://walletbalance.org/api_v1/
ws://analytics-server296.xyz:4367