Специалисты по информационной безопасности выявили группу расширений для браузера Chrome, которые выдавали себя за популярные криптокошельки и инструменты для управления цифровыми активами. Их главная цель - кража сид-фраз и приватных ключей, позволяющих получить доступ к средствам жертв. Особенность этих расширений в том, что они почти незаметны для автоматических сканеров и стандартных систем проверки Chrome Web Store.
Описание
Все обнаруженные расширения объединяет общая архитектура уклонения. Если удалённый сервер управления (C2) недоступен, расширение ведёт себя абсолютно безобидно и не проявляет никакой вредоносной активности. Это позволяет им успешно проходить проверку в песочнице магазина приложений. Только после получения команды от сервера через специальный kill-switch (удалённый переключатель активации) расширение запускает фишинговые сценарии или похищает данные.
Ключевая техника маскировки - использование Unicode-символов, меняющих порядок отображения текста. Например, символ RIGHT-TO-LEFT OVERRIDE позволяет отображать в Chrome Web Store название расширения как "Ledger Live" или "Braavos: Bitcoin & Starknet Wallet", хотя реальный идентификатор содержит совершенно другую строку. Таким образом, пользователь видит знакомый бренд и не подозревает подвоха. В отчёте аналитики подчёркивают, что подобный спуфинг полностью обходит любые строковые сканеры, проверяющие название расширения.
Одно из расширений, названное Ledger Live v2.0.1, выдавало себя за трекер криптопортфеля CoinGecko. После активации kill-switch на сервере academise[.]org оно открывало полноэкранную вкладку с фишинговым iframe, который считывал и изменял буфер обмена. Это позволяло перехватывать сид-фразы и приватные ключи, вводимые пользователями. Другое расширение - Solana Monitor v2.0.2 - маскировалось под интерфейс мониторинга сети Solana. При получении команды оно заменяло всплывающее окно на точную копию кошелька Phantom, похищая seed-фразы через HTTP-запрос на сервер dylimu[.]com.
Особый интерес вызывает расширение OmniFlow Sidebar. Для англоязычных пользователей оно выглядит как полноценная боковая панель с заметками, переводчиком и редактором изображений. Однако для пользователей из 43 других языковых локаций интерфейс превращается в фальшивый кошелёк "Blockchain Wallet: Buy BTC". При нажатии на иконку жертву без предупреждения перенаправляют на сайт swifnotees[.]online. Аналогичный приём использует расширение Crypto Dashboard & Calculator, перенаправляющее носителей иных языков на timeanddate[.]homes. Оба расширения были опубликованы с одного адреса электронной почты.
Самый опасный представитель - Token Rewards Claim v2.1.0. Оно внедряет в интерфейс ChatGPT поддельную ссылку на получение токенов в рамках рекламируемой программы вознаграждений. Пользователь видит растущий баланс и подключает свой реальный кошелёк MetaMask или OKX. В этот момент расширение отправляет транзакцию eth_sendTransaction в блокчейне BSC (Binance Smart Chain) с параметрами, полученными от сервера api[.]openaitoken[.]org. Жертва видит диалог подтверждения, который выглядит легитимно, но на деле выводит все средства на счёт злоумышленника.
Ещё одно расширение - ZAP Wallet - позиционировалось как AI-кошелёк для Solana, совместимый с децентрализованными приложениями. В его коде присутствовал настоящий генератор сид-фраз BIP39, но он никогда не вызывался. Вместо него использовался поддельный генератор с урезанным списком слов и функцией Math.random(), который создавал невалидные адреса. При этом расширение внедряло на все посещаемые сайты объект window.solana, перехватывающий обращения к настоящему кошельку. Методы подписания транзакций просто выбрасывали ошибку "Not yet implemented".
Наконец, расширение, подделывающее Braavos, использовало не только Unicode-спуфинг, но и символы нулевой ширины (\u200B) в описании, чтобы сбить с толку строковые анализаторы. Когда его сервер управления (Cloudflare Workers) был доступен, расширение заменяло окно на фишинговую страницу полного экрана, собирающую учётные данные. Если же сервер не отвечал, показывалась безобидная анимация "SILVER VAULT / AES-256 / SECURE". Использование инфраструктуры Cloudflare делало блокировку по IP-адресу неэффективной.
Все описанные расширения уже удалены из Chrome Web Store, но пользователям, которые успели их установить, следует немедленно отозвать любые разрешения, сменить сид-фразы кошельков и проверить наличие несанкционированных транзакций. Проблема демонстрирует, насколько изощрёнными стали атаки на криптосообщество. Злоумышленники активно используют особенности платформы и психологию доверия, а репутационные системы и проверки на VirusTotal не способны выявить угрозу, когда вредоносная активность проявляется только по команде удалённого сервера. Для защиты пользователям стоит устанавливать только расширения с большим числом реальных отзывов и проверять их на предмет необычного поведения уже после установки.
Индикаторы компрометации
Domains
- academise.org
- dylimu.com
- encryptedapikeyscanner.slmgames2020.workers.dev
- openaitoken.org
- swifnotees.online
Extensions
- koecfhecfkmjkjplbmbclgacdclnnpei
- pfgpfmdiepmhhhkpnciogjhccppbcfhk
- cdiohdbijdajffgccjmbblbikpnnnkeg
- gkcamdgljboohmjlfmogjnbckhcbpdhi
- ggijepplmdjopbidkeoeheohojgiclma
- clehpjldcdennhphcfihphbeoihllbki
- mgbkajajjhgmhchoajmomhcdmlndkofc
