Die Chrome-Erweiterung "Shitcoin Wallet" stiehlt Daten von ihren Nutzern

Die Ethereum-Brieftasche injiziert schädlichen Javascript-Code aus offenen Browserfenstern

TDas hat nicht lange gedauert … wir haben gerade das Jahr begonnen und bereits den ersten Vorfall über Datenverletzungen gemeldet. Der Experte für Cybersicherheit und Phishing-Schutz, Harry Denley, warnte vor der Sicherheitslücke in einem Tweet vor ein paar Tagen. Erst vor zwei Wochen habe ich darüber geschrieben, dass die Brieftasche einer führenden Blockchain-Anwendungsplattform von VeChain kompromittiert wurde, abgesehen von anderen hochkarätigen Hacks im Dezember.

Die Chrome-Browsererweiterung mit dem Namen Shitcoin Wallet (ID: ckkgmccefffnbbalkmbbgebbojjogffn) wurde am 9. Dezember 2019 gestartet. Der Link zur Erweiterung wurde zum Zeitpunkt der Veröffentlichung aus dem Google Chrome Web Store entfernt, da Sie eine 404 (angefordert) erhalten Die URL wurde auf dem Server nicht gefunden. Die aktuelle Sicherheitsverletzung hat zu einem ähnlichen Vorfall eine Woche zuvor geführt, als Google die Ethereum-Wallet-App MetaMask aus seinem Google Play App Store entfernt hat.

Laut einer Analyse von Denley sendet die böswillige Erweiterung die privaten Schlüssel aller über ihre Schnittstelle erstellten oder verwalteten Brieftaschen an einen Remote-Drittanbieter-Server, der als gekennzeichnet ist erc20wallet[.]tk. Abgesehen davon sind auch alle Ihre Gelder in Form von ETH oder anderen ERC-basierten Token direkt gefährdet. Der Schadcode funktioniert folgendermaßen:

• Benutzer installieren die Chrome-Browsererweiterung.
• Die Erweiterung fordert die Erlaubnis, JavaScript (JS) -Code auf 77 Websites einzufügen.
• Wenn Benutzer versuchen, eine dieser Websites zu durchsuchen, lädt die Erweiterung eine andere schädliche Datei aus der JS-Datei von https: // erc20wallet[.]tk / js / content_.js
• Diese JS-Datei enthält irreführenden Code, der schwer zu verstehen ist.
• Der Code wurde auf den folgenden fünf Websites reaktiviert: MyEtherWallet.com, Idex.Market, Binance.org, NeoTracker.io, und Switcheo.exchange
• Der Schadcode sucht dann nach privaten Anmeldeinformationen, die auf diesen Plattformen gespeichert sind, sammelt die Informationen und sendet sie an den Remote-Server.

Shitcoin Wallet startete einige Tage vor diesem Angriff auch die Desktop-Version (32-Bit- und 64-Bit-Version) seiner App mit dem Anreiz, 0,05 ETH an Benutzer zu vergeben, die ihren Client herunterladen und installieren. Wenn Sie sich die Kommentare ansehen, die auf dem Telegrammkanal der Brieftasche veröffentlicht wurden, ist auch auf dem Desktop-Client schädlicher Code vorhanden. Der Kompromiss ist riesig – 0,05 ETH für Ihre digitalen Brieftascheninformationen.

Es ist unklar, ob das Shitcoin Wallet-Team für den Schadcode verantwortlich ist oder ob die Chrome-Erweiterung von einem schändlichen Dritten kompromittiert wurde. Aber der Name "Shitcoin Wallet" sollte ein Werbegeschenk sein, um sich von Software fernzuhalten. Ironischerweise lautet die Homepage für die Shitcoin-Brieftasche:

Shitcoin Wallet Sichere Währung!