Розширення Chrome почало красти сід-фрази гаманців в Ефіріумі – Bits Media
Розширення браузера Chrome під назвою Safery: Ethereum Wallet потай витягує сид-фрази користувачів, дозволяючи зловмисникам захоплювати управління гаманцями в екосистемі Ефіріума, заявили фахівці з кібербезпеки компанії Socket.
Розширення маскується під стандартний ефіріум-гаманець і займає четверту позицію у вибірці пошуковика Chrome на запит «Ethereum Wallet» — одразу за MetaMask та іншими цілком безпечними програмами, розповіли експерти Socket.
При створенні нового гаманця або імпорті існуючого розширення декодує мнемонічну фразу користувача (сид-фразу з 12–24 слів) до синтетичних hex-адрес мережі Sui, а потім відправляє на ці адреси мікротранзакції по 0,000001 SUI для створення видимості дотримання мережевих правил.
«Для сторонніх спостерігачів це виглядає як мікротранзакції довільним одержувачам, але насправді адреси призначення є фрагментами мнемонічної фрази користувача. Використовуючи той самий декодер, вбудований у розширення, зловмисник відновлює початкову фразу слово за словом та отримує повний контроль над гаманцем жертви. Розкриття сід-фраз відбувається виключно в рамках звичайного блокчейн-трафіку», – пояснили фахівці з безпеки.
Подібна схема крадіжки конфіденційних даних дозволяє зловмисникам обійти традиційні системи виявлення, які використовують домени, URL-адреси або певні ідентифікатори розширень, додали експерти Socket.
Раніше фахівці з кібербезпеки компанії Mosyle повідомили про вірус ModStealer, який краде дані криптогаманців із пристроїв на Windows, Linux та macOS.
Источник: bits.media
