Ladrões de criptografia roubam Solana por meio de extensões ocultas do Chrome
Copiloto criptográfico. Fonte: Chrome Web Store A mais recente ameaça direcionada aos usuários de criptomoedas surgiu com precisão cirúrgica e está acontecendo no seu navegador. Este é um método de ataque sofisticado em que extensões maliciosas do Chrome injetam taxas de transferência ocultas em transações Solana legítimas, permitindo que criminosos desviem fundos sem que os usuários percebam que foram roubados. Os pesquisadores do Socket identificaram a extensão. O que torna este ataque particularmente insidioso é que as próprias vítimas assinam as transações, completamente inconscientes de que instruções de transferência ocultas foram incorporadas nas operações legítimas do Raydium e do Júpiter. Os detalhes A equipe de pesquisa de ameaças do Socket descreveu todos os detalhes. Ele descobriu a extensão maliciosa do Chrome, Crypto Copilot, publicada em 18 de junho de 2024, que se comercializa como uma ferramenta para “executar negociações instantaneamente a partir de seu feed X”. Por trás da interface, a extensão injeta uma transferência extra em cada troca Solana, desviando um mínimo de 0,0013 SOL ou 0,05% do valor da negociação para uma carteira codificada controlada pelo invasor. O comportamento das taxas nunca é divulgado na listagem da Chrome Web Store, e a lógica que o implementa está enterrada em um código altamente ofuscado. Quando um usuário realiza uma troca, o Crypto Copilot cria a instrução de troca Raydium esperada e, em seguida, anexa silenciosamente uma segunda instrução que transfere o SOL do usuário para Bjeida13AjgPaUEU9xrh1iQMwxZC7QDdvSfg73oxQff7. A IU mostra apenas os detalhes da troca. As telas de confirmação da carteira normalmente resumem a transação sem apresentar instruções individuais. Os usuários assinam o que parece ser uma única troca, mas ambas as instruções são executadas atomicamente na cadeia. Socket diz que a extensão permanece disponível no momento em que este artigo foi escrito. Ele enviou uma solicitação de remoção à equipe de segurança da Chrome Web Store do Google. Roubo de extensão Seis meses atrás, uma única extensão maliciosa do Chrome chamada “Aggr” roubou com sucesso US$ 1 milhão de uma vítima. Este ataque devastador expôs a facilidade com que os criminosos podem manipular solicitações de rede, modificar o conteúdo da página e acessar dados confidenciais do navegador, incluindo cookies e armazenamento, com as permissões corretas. O ecossistema de criptomoedas tornou-se o marco zero para ataques baseados em extensões. Uma pesquisa publicada no mês passado revelou que 186 extensões maliciosas com tema de criptomoeda foram identificadas entre 3.599 analisadas ao longo de 18 meses. Essas ferramentas maliciosas já canalizaram mais de US$ 1 milhão em criptomoedas para carteiras controladas por invasores durante sua vida operacional. Essas extensões evitam a detecção de 84,4% dos principais mecanismos antivírus e permanecem disponíveis em lojas de extensões por mais de um mês em 73,1% dos casos. Os criminosos evoluíram além de simples tentativas de phishing – agora estão se infiltrando nas ferramentas em que os usuários mais confiam. Visando o Raydium No início deste ano, os criminosos começaram a criar clones perfeitos de plataformas legítimas como o Raydium para enganar os usuários. Esses sites falsos promovem “lançamentos aéreos” inexistentes de tokens RAY e outras criptomoedas baseadas em Solana, executando código JavaScript malicioso no momento em que os usuários conectam suas carteiras. Durante a onda de negociação de moedas meme no verão, a extensão “Bull Checker” tinha como alvo específico os usuários do Reddit interessados na negociação de moedas meme, com um usuário anônimo chamado “Solana_OG” promovendo a ferramenta nos subreddits Solana. A extensão solicitou permissões excessivas para ler e alterar todos os dados em sites – muito além do que uma ferramenta legítima somente leitura exigiria. Somente os golpes de drenos de lançamento aéreo causaram perdas de US$ 780 milhões durante 2024, destacando a enorme escala dessa ameaça. O que isso significa para os usuários de criptografia As implicações vão muito além das perdas individuais. Mesmo grandes plataformas como o Raydium sofreram ataques devastadores, com um incidente há quase dois anos resultando em aproximadamente US$ 5,5 milhões roubados quando invasores comprometeram chaves privadas de administrador por meio de malware trojan. Extensões direcionadas a criptomoedas menos populares como Monero e MintCoin demonstram que nenhum ativo digital é seguro. Os usuários devem auditar imediatamente as extensões instaladas do Chrome, verificar URLs antes de conectar carteiras e reconhecer que plataformas legítimas nunca solicitarão permissões excessivas do navegador para funcionalidades básicas. Noutras notícias sobre segurança cibernética, os investigadores dizem que o Gamaredon da Rússia e o Lazarus da Coreia do Norte podem estar a partilhar infraestruturas – uma rara colaboração APT.
Publicado: 2025-11-27 10:08:00
fonte: www.techrepublic.com
