Noticias

Se Descubre que Extensión de Chrome roba claves privadas de Crypto-Wallets

Recientemente, una extensión en Google Chrome ha sido sorprendida inyectando código JavaScript malicioso en páginas web. Este código permite que la extensión robe varias contraseñas y claves privadas de las billeteras y portales de criptomonedas del usuario de Internet.

Mal nombrado con malas intenciones

La extensión lleva por nombre Shitcoin Wallet, detalle de muy mal gusto que parece haber atraído a los más jóvenes, lleva una ID de extensión de ckkgmccefffnbbalkmbbgebbojjogffn. La extensión se lanzó el mes pasado, o más bien el año pasado, el 9 de diciembre de 2019.

La publicación de blog introductoria de esta extensión, el grupo detrás de ella describe Shitcoin Wallet como una billetera que permite a los usuarios administrar adecuadamente las monedas Ether (ETH). Junto con esto, Shitcoin Wallet también permite tokens basados ​​en ERC20, el tipo de tokens que generalmente se distribuyen a través de ofertas iniciales de monedas o ICO.

Muy conveniente, pero empañado

Esta extensión de Chrome, si solo fuera benigna, tenía un propósito instrumental. Los usuarios pueden instalar la extensión y administrar ETH y sus monedas ERC-20 dentro de su propio navegador web. Además, los usuarios pueden instalar una aplicación de escritorio para Windows si desean administrar sus fondos fuera de los límites del entorno de mayor riesgo de un navegador.

Las cosas comenzaron a desmoronarse después, con Harry Denley como instigador del colapso. Denley es el Director de Seguridad en la plataforma MyCrypto y descubrió que la extensión contenía código malicioso dentro de ella. Parece que nada puede ser solo para el bien de toda la humanidad.

Denley explicó que la extensión era peligrosa de dos maneras significativas. El primero fue que cualquier forma de fondos que se administraran directamente dentro de la extensión estaba en riesgo. Esto se debe a la extensión que envía las claves privadas de cualquiera, y todas las billeteras administradas o creadas dentro de su interfaz a un sitio web de terceros, ubicado en la dirección erc20wallet [.] Tk.

La segunda cuestión clave es la inyección activa de código de código Javascript cada vez que un usuario navega a cinco plataformas de gestión de criptomonedas populares y conocidas. Con el código malicioso inyectado, la extensión también roba las claves privadas y los detalles de inicio de sesión de esas plataformas, enviándolas al mismo sitio web de terceros.

Paso a paso

Un análisis detallado del código muestra el proceso, paso a paso.

Primero, el usuario instala la extensión, que luego solicita permiso para inyectar más código JavaScript en 77 sitios web. Cuando se accede a uno de estos 77 sitios web, la extensión se carga e inyecta otro archivo JavaScript desde https: // erc20wallet [.] Tk / js / content_.js. Este archivo contiene código ofuscado que se activa en otros cinco sitios web: MyEtherWallet.com, Idex.Market, Binance.org, NeoTracker.io y Switcheo.exchange. Este código, a su vez, registra las claves privadas y la información de inicio de sesión que crea un usuario, enviándola al sitio web de terceros.

 

Deja un comentario

Your email address will not be published.

You may also like