Uma extensão enganosa do Chrome chamada Safery: Ethereum Wallet emergiu como uma séria ameaça aos usuários de criptomoedas.
Publicada na Chrome Web Store em 12 de novembro de 2024, esta extensão se disfarça como uma carteira Ethereum segura enquanto rouba secretamente frases iniciais do usuário.
O design sofisticado do malware permite que os invasores obtenham controle total sobre as carteiras de criptomoedas das vítimas e drenem seus ativos digitais.
A extensão opera com uma abordagem astuta em relação ao roubo. Quando os usuários criam ou importam uma carteira, a extensão extrai sua frase-semente e a codifica em endereços de blockchain Sui sintéticos.
Em seguida, ele transmite pequenas microtransações de 0,000001 SUI para esses endereços codificados a partir de uma carteira controlada pelo agente da ameaça. Para os observadores, elas aparecem como atividades normais do blockchain, mas na verdade contêm dados ocultos do usuário.
Os analistas de segurança do Socket.dev identificaram a extensão maliciosa e descobriram suas táticas evasivas.
Os pesquisadores observaram que o backdoor usa codificação mnemônica BIP-39, transformando cada palavra da frase-semente em índices numéricos e empacotando-os em strings hexadecimais que se assemelham a endereços legítimos de carteira Sui.
A Ethereum Wallet comercializa a extensão como uma carteira ETH simples e segura (Fonte – Socket.dev)
Essa abordagem inteligente oculta dados nas transações blockchain, eliminando a necessidade de servidores tradicionais de comando e controle.
Mecanismo Técnico
O mecanismo técnico revela a sofisticação da extensão. Ao examinar o código de extensão, os analistas descobriram que ele carrega uma lista de palavras padrão, mapeia cada palavra para seu índice e constrói endereços sintéticos prefixados com “0x”.
Um decodificador emparelhado incorporado no malware permite que o agente da ameaça reverta esse processo, reconstruindo a frase-semente original, palavra por palavra.
O código executa silenciosamente essas operações depois que um usuário insere sua frase inicial, enviando dados de exfiltração através do blockchain antes de concluir o processo de login.
A ameaça é especialmente perigosa porque a extensão parece legítima na Chrome Web Store. Os usuários que procuram carteiras Ethereum a encontram listada como o quarto resultado ao lado de alternativas confiáveis como MetaMask e Enkrypt, conferindo-lhe falsa credibilidade.
Depois que a vítima instala a extensão e importa sua carteira, o invasor obtém acesso a todas as chaves privadas derivadas do Ethereum e pode transferir todos os ativos para seus próprios endereços, resultando em comprometimento financeiro completo.
Siga-nos no Google News, LinkedIn e X para obter mais atualizações instantâneas, defina CSN como fonte preferencial no Google.
