Исследователи кибербезопасности обнаружили в Chrome Web Store вредоносное расширение под названием Safery: Ethereum Wallet, которое маскируется под кошелёк для Ethereum. Опубликованное 12 ноября 2024 года, это расширение содержало скрытую функцию, предназначенную для кражи сид-фраз пользователей путём их кодирования в транзакции блокчейна Sui. Это позволяет злоумышленникам полностью захватывать контроль над кошельками жертв.
Описание
Расширение позиционировалось как простой и безопасный кошелёк для хранения Ethereum. Однако при создании или импорте кошелька оно преобразует мнемоническую фразу (BIP-39 seed phrase) в специально сгенерированные адреса, напоминающие адреса в сети Sui. Затем расширение инициирует микротранзакции на сумму 0.000001 SUI с кошелька, контролируемого злоумышленниками, на эти синтетические адреса. Каждый такой адрес содержит закодированную сид-фразу пользователя.
Таким образом, сид-фраза покидает браузер пользователя, скрытая внутри легитимных на вид транзакций в блокчейне. Злоумышленник, используя соответствующий декодер, может восстановить исходную мнемоническую фразу из данных получателя транзакции. Получив сид-фразу, злоумышленник получает полный контроль над всеми активами пользователя, поскольку может импортировать кошелёк в любой клиент и вывести средства.
На момент публикации новости расширение всё ещё присутствовало в Chrome Web Store. Исследователи направили запрос в службу безопасности Google с требованием удалить расширение и заблокировать аккаунт издателя, зарегистрированный на электронную почту kifagusertyna@gmail[.]com.
Внешне расширение ведёт себя как обычный кошелёк. Оно позволяет создавать аккаунты, импортировать существующие кошельки, проверять баланс через публичные RPC-ноды Ethereum и отправлять транзакции. Маркетинговые материалы обещают пользователям простоту и безопасность. Более того, при поиске "Ethereum Wallet" в Chrome Web Store это вредоносное расширение занимало четвёртую позицию в результатах, располагаясь рядом с проверенными решениями, такими как MetaMask и Enkrypt. Такое соседство придавало ему видимость легитимности.
Механизм утечки данных реализован крайне изощрённо. Расширение использует стандартный список слов BIP-39. Каждое слово мнемонической фразы преобразуется в числовой индекс, который затем упаковывается в шестнадцатеричную строку. Эта строка форматируется так, чтобы выглядеть как валидный адрес в сети Sui. Для фразы из 12 слов создаётся один такой адрес, а для фразы из 24 слов - два.
Ключевой частью атаки является функция "sendSui", которая использует жёстко прописанную в коде сид-фразу злоумышленника. Эта фраза, декодируемая из Base64, предоставляет доступ к кошельку, с которого отправляются микротранзакции. Поскольку exfiltration (утечка данных) происходит через публичный блокчейн, она не требует центрального сервера управления (C2) и не оставляет следов в HTTP-трафике. Для наблюдателей со стороны эти транзакции выглядят как обычные переводы мелких сумм.
Этот случай демонстрирует новую тактику киберпреступников, которые начинают использовать публичные блокчейны в качестве канала для скрытой передачи похищенной информации. Подобные методы сложно обнаружить с помощью традиционных систем безопасности, отслеживающих сетевую активность или подозрительные домены.
Эксперты рекомендуют пользователям проявлять крайнюю осторожность при выборе расширений для работы с криптовалютами. Следует устанавливать только проверенные кошельки от известных разработчиков, такие как MetaMask или Phantom, и загружать их исключительно с официальных страниц издателей. Не стоит доверять свои сид-фразы приложениям, найденным через поиск или рекламу.
Организациям рекомендуется внедрять строгие политики безопасности для браузеров. Это включает создание белых списков разрешённых расширений, мониторинг их разрешений и анализ сетевой активности на предмет неожиданных обращений к RPC-нодам различных блокчейнов. Современные системы защиты, такие как Socket, способны сканировать расширения на наличие подозрительного поведения, включая попытки выполнения динамического кода, несанкционированный доступ к данным и скрытую передачу информации.
Обнаружение Safery: Ethereum Wallet служит серьёзным напоминанием о том, что угрозы безопасности в сфере криптовалют продолжают эволюционировать. Злоумышленники находят всё более изощрённые способы кражи конфиденциальных данных, маскируя их под легитимные операции. В условиях растущей сложности атак только комплексный подход к безопасности, сочетающий технологические решения и осведомлённость пользователей, может эффективно противостоять этим угрозам.
Индикаторы компрометации
Threat Actor’s Email Address
- kifagusertyna@gmail.com
Chrome Extension
- Name: Safery: Ethereum Wallet
- Extension Identifier: fibemlnkopkeenmmgcfohhcdbkhgbolo
Hardcoded Threat Actor’s Mnemonic
- Значение в кодировке Base64: c2Vuc2UgY29sbGVjdCBwdWxwIGZsb2F0IG5ldXRyYWwgYnJ1c2ggaG9zcGl0YWwgcHlyYW1pZCBjb2luIHNoaWVsZCB1c2UgYXRvbQ==
- Расшифрованная фраза: sense collect pulp float neutral brush hospital pyramid coin shield use atom
