Вредоносное расширение Chrome крадет API-ключи биржи MEXC для полного захвата аккаунтов

Механизм атаки: автоматизированное создание вредоносных ключей

Расширение позиционируется как удобный инструмент для автоматического создания API-ключей на платформе MEXC. Однако, как только пользователь заходит на страницу управления API биржи в уже аутентифицированной сессии, скрипт расширения автоматически активируется. Он програмmatically заполняет форму создания нового ключа, выбирая все доступные разрешения, включая критически важное право на вывод средств.

Для маскировки расширение применяет хитрый трюк с пользовательским интерфейсом. Оно манипулирует стилями страницы, чтобы галочка напротив разрешения на вывод средств выглядела снятой, хотя на сервер биржи отправляется запрос с активированным этим правом. Таким образом, пользователь видит, что создает ключ якобы только для торговли, но в реальности он предоставляет злоумышленнику полный доступ к своему счету.

Кража и утечка данных через Telegram

После того как MEXC отображает модальное окно с успешно созданным ключом (Access Key) и секретом (Secret Key), вредоносный скрипт перехватывает эти данные. Затем он отправляет их через HTTPS-запрос на заранее зашитый в код Telegram-бот, контролируемый угрозой. Функция отправки включает логику повторных попыток для повышения надежности утечки данных. Получив ключи, злоумышленник получает возможность програмmatically выполнять торговые операции и выводить активы со счета жертвы, не нуждаясь в ее пароле или двухфакторной аутентификации.

Цель атаки и профиль угрозы

MEXC является крупной международной криптобиржей, что делает ее привлекательной мишенью для киберпреступников. Вредоносное расширение поддерживает несколько языков, включая русский, что указывает на нацеленность на широкую аудиторию. Анализ кода показывает, что многие комментарии в скрипте написаны на русском языке, что с высокой вероятностью указывает на русскоязычного разработчика. Псевдоним jorjortan142 также связан с проектом SwapSushi в Telegram и X (бывший Twitter), что позволяет говорить о кластере активности, сфокусированном на криптовалютных инструментах.

Риски и рекомендации по защите

Основной риск заключается в том, что злоумышленник получает долгоживущие API-ключи с правами на вывод, которые часто менее тщательно мониторятся, чем обычные логины. Угроза сохраняется до тех пор, пока ключ не будет отозван, даже если расширение уже удалено.

Эксперты рекомендуют пользователям срочно провести аудит установленных расширений браузера и удалить MEXC API Automator, а также любые непроверенные инструменты для автоматизации торговли. Ключи API следует рассматривать как критически важные секреты, хранить их в защищенных менеджерах паролей и регулярно менять. Кроме того, необходимо отслеживать журналы активности на биржах на предмет подозрительных операций, таких как вывод средств или создание ключей с неожиданными разрешениями.

Компания Socket уведомила Google о вредоносном расширении. Специалисты прогнозируют, что данная методика атаки может быть адаптирована и для других торговых платформ и финансовых сервисов, использующих API, что требует повышенного внимания к безопасности со стороны как пользователей, так и разработчиков.

Malicious Chrome Extension

• Name: MEXC API Automator
• Extension ID: pppdfgkfdemgfknfnhpkibbkabhghhfh
• Chrome Web Store listing: https://chromewebstore.google.com/detail/mexc-api-automator/pppdfgkfdemgfknfnhpkibbkabhghhfh

Threat Actor Identifiers and Infrastructure

• Chrome Web Store alias: jorjortan142
• Registration email: jorjortan142@gmail.com
• Telegram Identifiers:
  • botToken: 7534112291:AAF46jJWWo95XsRWkzcPevHW7XNo6cqKG9I
  • chatId: 6526634583
• Associated Public Accounts and Domains Promoted as SwapSushi
  • x.com/jorjortan142
  • t.me/swapsushibot
  • https://www.youtube.com/channel/UC22QT_xOrH9PWhORCkjGI_A
  • swapsushi.net