Una de las extensiones para Google Chrome, Shitcoin Wallet inyecta un código JavaScript especial en las páginas web. Usando este código, Los atacantes roban contraseñas y claves privadas de carteras y servicios de criptomonedas..
El primer complemento problemático apareció el 9 de diciembre.. La extensión recibió el identificador. ckkgmccefffnbbalkmbbgebbojjogffn.
Los desarrolladores de Shitcoin Wallet afirman que la extensión permite a los usuarios administrar Éter (ETH) divisa, así como Etereum ERC20 fichas.
"Los usuarios pueden instalar la extensión de Chrome y administrar monedas ETH y tokens ERC20 desde su navegador., o pueden instalar una aplicación de escritorio de Windows, si quieren administrar sus fondos desde fuera del entorno de riesgo de un navegador”, — dice la descripción de Shitcoin Wallet.
También existe una aplicación similar para Windows., sin embargo, Los atacantes se centran en el complemento..
De hecho, resultó que Shitcoin Wallet tiene objetivos completamente diferentes.
Según Harry Danley, jefe de seguridad de la MiCrypto plataforma, la extensión contiene código malicioso.
Este complemento es peligroso para los usuarios del navegador Chrome por dos motivos:
"Primero: Cualquier fondo (Monedas ETH y tokens basados en ERC0) gestionados directamente dentro de la extensión están en riesgo. La extensión envía las claves privadas de todas las billeteras creadas o administradas a través de su interfaz a un sitio web de terceros ubicado en erc20wallet.[.]tk. Segundo, la extensión también inyecta activamente código JavaScript malicioso cuando los usuarios navegan a cinco plataformas de administración de criptomonedas conocidas y populares.. Este código roba credenciales de inicio de sesión y claves privadas., datos que se envían al mismo erc20wallet[.]tk sitio web de terceros”, — explicó Harry Denley.
Según un análisis del código malicioso en ZDNet, el proceso es el siguiente:
- Los usuarios instalan la extensión de Chrome
- La extensión de Chrome solicita permiso para inyectar JavaScript (js) código encendido 77 sitios web
- Cuando los usuarios navegan a cualquiera de estos 77 sitios, la extensión carga e inyecta un archivo JS adicional desde: https://billetera erc20[.]tk/js/content_.js
- Este archivo JS contiene código ofuscado
- El código se activa en cinco sitios web.: MiEtherWallet.com, Idex.mercado, Binance.org, NeoTracker.io, y Switcheo.exchange
- Una vez activado, el código JS malicioso registra las credenciales de inicio de sesión del usuario, busca claves privadas almacenadas dentro de los paneles de los cinco servicios, y, finalmente, envía los datos a erc20wallet[.]tk
No está claro si el equipo de Shitcoin Wallet es responsable del código malicioso o si la extensión de Chrome fue pirateada por un tercero.. Sin embargo, por ejemplo, el ToTok messenger fue creado casi especialmente en colaboración con los servicios especiales de los EAU para el seguimiento total de los usuarios.