おなじみのフィッシング手法を使用して、新しいブランドを標的にします。
私たちは、暗号通貨ユーザーに日常的に発生する攻撃の種類に注意を払い、コミュニティの教育に役立つ発見を頻繁に書き込みます。 ユーザーに対するさまざまなタイプの攻撃を見てきました。 単純な信頼取引詐欺 〜へ SIMハイジャック 取引所の口座から資金を危険にさらして盗むこと。
最近、偽のブラウザ拡張機能をユーザーにプッシュし、Google広告やその他のチャネルを介して有名なブランドをターゲットとする大きなキャンペーンに遭遇しました。 これは新しい攻撃ベクトルではありませんが、 悪意のあるブラウザ拡張機能について書かれた 以前—対象となるブランドは新しいものです。
研究の目的は次のとおりです。
- 「日常のユーザー」に、さまざまな攻撃ベクトルについて教育する
- 人々に気づかせる大きなキャンペーンについて報告する
- 「日常のユーザー」に実際の攻撃の例を示し、資産のセキュリティ管理を強化する可能性を高める
- 詐欺キャンペーンインフラストラクチャのシャットダウンを支援する
- 被害者が作られる前に検出を支援するためにカスタムツールにフィードするインテリジェンスを収集します
ブランドや暗号通貨のユーザーを対象としたさまざまな拡張機能が見つかりました。 拡張機能はすべて同じように機能しますが、ブランディングは対象とするユーザーによって異なります。 悪意のある拡張機能をターゲットにしたブランドは次のとおりです。
- 元帳
- トレゾール
- Jaxx
- エレクトラム
- マイイーサウォレット
- メタマスク
- 出エジプト記
- KeepKey
基本的に、拡張機能はシークレット(ニーモニックフレーズ、秘密キー、およびキーストアファイル)をフィッシングします。 ユーザーがそれらを入力すると、エクステンションはHTTP POSTリクエストをバックエンドに送信し、そこで悪意のあるアクターはシークレットを受け取り、アカウントを空にします。
14を識別しました C2 (侵害されたシステムとの通信を継続するコマンド&コントロールサーバーとも呼ばれます)が、フィンガープリント分析を使用することで、特定のC2を相互にリンクして、どのフィッシングキットの背後に同じ悪意のある人物がいるのかを判断できます。 一部のキットは、フィッシングデータをGoogleDocsフォームに送り返しました。 ただし、ほとんどの場合、カスタムPHPスクリプトを使用して独自のバックエンドをホストしていました。 識別されたC2は次のとおりです。
- 分析-server296.xyz
- コイン見ベータオンライン
- 完全SSL.com
- cxext.org
- 元帳.productions
- レジャーウォレット.xyz
- mexanalytic.co
- networkforworking.com
- trxsecuredapi.co
- ユーザーメトリカ.org
- ウォレットバランス.org
- 元帳.tech
- vh368451.eurodir.ru
- xrpclaim.net
一部のドメインは比較的古いですが、C80の2%は2020年2月とXNUMX月に登録されました(均等に分割されています)。 最も古いドメイン(ledger.productions)は、フィンガープリントに関して他のCXNUMXへの「接続」が最も多いため、拡張機能の大部分について同じバックエンドキット(またはこの背後にある同じアクター)を示しています。
また、他のC2のいくつかで共通ログファイルを検査しましたが、それらのほとんどはWebルートで使用できませんでしたが、403を発行しているものもあり、trxsecuredapi.coに属していて、 少し小さい 洞察(すべてを額面どおりにする場合):
- このC2に使用されるサーバーは
trxsqdmn - 管理者の電子メールは次のマスクに従います:「b — 0 @ r — r.ru」—ロシアを拠点とする俳優を示す可能性があります
- 最初のログは29年2020月10日43:14:XNUMX America / New_York
- C2は、フィッシングされた秘密を収集するためのファイル以外のファイルをホストします
以下は、MyEtherWalletユーザーをターゲットにした悪質な拡張機能の動作のビデオです。 シークレットを入力するまでは、通常のMyEtherWalletエクスペリエンスと同じように見えます。 それらを送信した後、悪意のあるアプリケーションは、悪意のある俳優によって制御されているサーバーにシークレットを送信してからデフォルトのビューに送信し、その後何もせず、次のいずれかの結果になります。
- 欲求不満になり、シークレットを再度送信したユーザー(おそらく別のシークレットでも)
- ユーザーが拡張機能をアンインストールし、ウォレットの資金がなくなるまでシークレットを入力することの影響を忘れている-これはおそらく拡張機能がストアから削除された後であるため、セキュリティホールがどこにあったのか調査することはできません。
一部の拡張機能では、偽のユーザーのネットワークが5つ星でアプリを評価し、拡張機能について肯定的なフィードバックを提供して、ユーザーにダウンロードを促しています。 悪役による肯定的なフィードバックのほとんどは、「良い」、「役に立つアプリ」、「legit拡張機能」などの低品質でした。 8つの拡張機能は、同じ「copypasta」を約XNUMX回持ち、さまざまなユーザーによって作成され、ビットコインとは何かの紹介を共有し、[悪意のある] MyEtherWalletが好まれたブラウザー拡張機能であった理由を説明しました(注:MEWはビットコインをサポートしていません) )。
悪意のある拡張機能について正当なレビューを書いた警戒心のあるユーザーのネットワークもありました。しかし、それがフィッシング詐欺の被害者だったのか、それともコミュニティがダウンロードしないように支援していたのかはわかりません。
Googleウェブストアにはレポートセクションがあり、私たちのレポートと、 フィッシュフォート、拡張機能は24時間以内に削除されました。
データセットの分析では、悪意のある拡張機能が2020年2020月にゆっくりとストアにヒットし始め、2020年XNUMX月までリリースが増加し、XNUMX年XNUMX月にさらに多くの拡張機能が急速にリリースされたことが示されています。
- 2月2020: 今月、データセットから2.04%が公開されました
- 月2020: 今月、データセットから34.69%が公開されました
- April 2020: 今月、データセットから63.26%が公開されました
これは、検出が大幅に改善されているか、暗号通貨ユーザーをターゲットにするためにブラウザーストアを攻撃する悪意のある拡張機能の数が 指数関数的に成長する.
私たちのデータセットからの分析は、レジャーが最もターゲットを絞ったブランドであることを示唆しています—推測することなく、その理由を言うのは難しいです。
- 元帳 —データセットに含まれる悪意のあるブラウザ拡張の57%
- MyEtherWallet —データセットに含まれる悪意のあるブラウザ拡張の22%
- セーフティー —データセットに含まれる悪意のあるブラウザ拡張の8%
- エレクトロ —データセットに含まれる悪意のあるブラウザ拡張の4%
- KeepKey —データセットに含まれる悪意のあるブラウザ拡張の4%
- Jaxx —データセットに含まれる悪意のあるブラウザ拡張の2%
盗まれた資金はどこに行きましたか?
いくつかのアドレスに資金を送り、秘密を悪意のある拡張機能に送信しました。 ただし、それらは自動的にスイープされませんでした。 これにはいくつかの理由が考えられます。
- 悪役は価値の高いアカウントのみに関心がある
- 悪い俳優は手動でアカウントを一掃する必要があります
私たちのアドレスは一掃されませんでしたが、悪意のあるブラウザー拡張機能への資金の喪失についてユーザーからの公的な報告があります:
悪意のあるブラウザー拡張機能の犠牲になったと思われる場合は、次の場所で報告してください。 https://cryptoscamdb.org/report/.
どうすれば安全を保つことができますか?
悪意のあるブラウザー拡張機能に限定されない日常の暗号通貨ユーザーのための多くの異なる攻撃ベクトルがありますが、以下は悪意のあるブラウザー拡張機能のみに対処します。
私は暗号通貨を日常的に使用しています。
- に移動して、各ブラウザ拡張機能にどのような権限があるかを理解してください。
chrome://extensions/各拡張機能の[詳細]タブをクリックします。 - 各権限に関連するリスクを理解します。
- 拡張機能の使用範囲外と思われる権限がある場合は、拡張機能を削除することを検討してください。
- 拡張機能を実行のみに制限する 特定のドメインまたは拡張アイコンをクリックしたとき ブラウザの右上にあります。
- 読む:MyEtherWallet [。] comおよびBlockchain [。] comドメインをターゲットにした偽の暗号解読プログラム— https://medium.com/mycrypto/hunting-huobi-scams-662256d76720.
- 読む:人気の暗号通貨取引所をターゲットにした偽のキャッシュバック拡張機能— https://medium.com/mycrypto/the-dangers-of-malicious-browser-extensions-ef9c10f0128f.
- 暗号通貨データ専用に使用する別のブラウザーユーザーを作成することを検討してください。これにより、攻撃対象の範囲が制限され、懸念事項(個人および暗号通貨プロファイル)が分離され、暗号通貨プロファイルに関連するプライバシーが向上します。
私は日常のユーザーにソリューションを提供するチーム/会社です。
- 自社の監視を使用するか、ユーザーに代わってこれらの拡張機能を調査して削除するサードパーティと提携することにより、製品が目標とする基準を満たしている場合は、ブラウザ拡張ストアを監視することを検討してください。
- ユーザーに秘密を守って安全を確保するよう注意を促し、強制します。
- 製品での生の秘密(ニーモニックフレーズ、キーストアファイル、秘密鍵)の使用を廃止し、他の署名メカニズムを促進します。
- すべての製品とリンクの公開リストを作成して、ユーザーが信頼できる情報の信頼できるソースを持つようにします。
拡張ID:
afephhbbcdlgdehhddfnehfndnkfbgnm
agfjbfkpehcnceblmdahjaejpnnnkjdn
ahikdohkiedoomaklnohgdnmfcmbabcn
アーフィイナファジエフエムシアアジゴヒップフホルメ
akglkgdiggmkilkhejagginkngongcbpbj
アニフメジャブパオカッモディアプフォラオム
bhkcgfbaokmhglgipbppoobmoblcomhh
bkanfnnhokogflpnhnbfjdhbjdlgncdi
bpfdhglfmfepjhgnhnmclbfiknjnfblb
bpklfenmjhcjlocdicfadpfppcgojfjp
ckelhijilmmlmnaljmjpigfopkmfkoeh
dbcfhcelmjepboabieglhjejeolaopdl
dbcfokmgampdedgcefjahloodbgakkpl
ddhdfnenhipnhnbbfifknnhaomihcip
デヒンデジピフェアイクcgbkdijgkbjliojc
dkhcmjfipgoapjamnngoldbcakpdhgf
effhjobodhmkbgfpgcdabfnjlnphakhb
egpnofbhgafhbkapdhedimohmainbiio
エルギムムムコセムジャデアフモヒプムメイ
epphnioigompfjaknnaokghgcnjfbe
gbbpilgcdcmfppjkdociebhmcnbfbmod
glmbceclkhkaebcadgmbcjihllcnpmjh
gpffceikmehgifkjjginoibpceadefih
idnelecdpebmbpnmambnpcjogingdfco
ifceimlckdanenfkfoomccpcpemphlbg
ifmkfoeijeemajoodjfoagpbejmmnkhm
igkljanmhbnhedgkmgpkcgpjmociceim
イジャクギッドfnlallpobldpbhandllbeobg
ijohicfhndicpnmkaldafhbecijhdikd
jbfponbaiamgjmfpfghcjjhddjdjdpna
jfamimfejiccpbnghhjfcibhkgblmiml
jlaaidmjgpgfkhehcljmeckhlaibgaol
kjnmimfgphmcppjhombdhhegpjphpiol
lfaahmcgahoalphllknbfcckggddoffj
mcbcknmlpfkbpogpnfcimfgdmchchmmg
mciddpldhpdpibckghnaoidpolnmighk
mjbimaghobnkobfefccnnnjedoefbafl
mnbhnjecaofgddbldmppbbdlokappkgk
nicmhgecboifljcnbbjlajbpagmhcclp
njhfmnfcoffkdjbgpannpgifnbgdihkl
noilkpnilphojpjaimfcnldblelgllaaa
obcfoaeoidokjbaokikamaljlpebofe
oejafikmfmejaafjjkoeejjpdfkdkpc
ogaclpidpghafcnbchgpbigfegdbdik
opmelhjohnmenjibglddlpmbpbocohck
pbilbjpkfbfbackdcejdmhdfgeldakkn
pcmdfnnipgpilomfclbnjpbdnmbcgjaf
ペドコビミルジェミブクラフセルゲドムクゲイ
plnlhldekkpgnngfdbdhocnjfplgnekg
C2:
http://ledgerwallet.xyz/api.php
https://v1.ledgers.tech
https://coinomibeta.online/post/connexion.php
https://completssl.com/functions.php
https://completssl.com/ssnd_1.php
https://completssl.com/ssnd_el.php
https://completssl.com/ssnd_ex.php
https://completssl.com/ssnd_t.php
https://cxext.org/6721e14f0257a64f1f0a9114197d59ba/
https://docs.google.com/forms/d/1PXmiKeuYFdNS8D1q5yU1Cb7_9TwZQMbMCTl2PfSYhLI/formResponse
https://docs.google.com/forms/d/e/1FAIpQLSc1DTYAqXYnGTaUH0AIJa-rC2lk7V5nsE6tEdGIKXTKNm36HQ/formResponse
https://docs.google.com/forms/d/e/1FAIpQLScuQg9Rpct1ahMotYT12xBAt3MmcubQg-duV1a0BZ_vo1Tj4g/formResponse
https://ledger.productions/api_v1/
https://mecxanalytic.co/api_keystore.php
https://mecxanalytic.co/api_mnemonic.php
https://mecxanalytic.co/api_private.php
https://trxsecuredapi.co/api_ledger.php
https://usermetrica.org/api_v1/
http://vh368451.eurodir.ru/api/v1/
https://walletbalance.org/api_v1/
ws://analytics-server296.xyz:4367
