セキュリティ研究者が、人気の暗号通貨ウォレット imToken になりすまし、ユーザーのウォレット復旧シークレットを盗むために設計された悪意のある Chrome 拡張機能を発見しました。
「lmΤoken Chromophore」という名前の拡張機能は、無害なカラー可視化ツールを装いながら、被害者をシードフレーズと秘密鍵などの機密ウォレット情報を収集するフィッシングページに秘密裏にリダイレクトします。
この悪意のある拡張機能は Socket の脅威調査チームによって発見されました。
リストは 16 進数カラー可視化機能を提供すると主張していますが、その実際の目的は被害者を imToken インターフェースを模倣した攻撃者が管理するウェブサイトにリダイレクトすることです。
暗号通貨ウォレットはアカウントアクセスに秘密鍵とシードフレーズに依存しているため、これらのシークレットを取得した攻撃者は即座に被害者の資金を奪うことができます。
インストール後、悪意のある拡張機能は新しいブラウザタブでフィッシングページを自動的に開きます。
宛先 URL は jsonkeeper[.]com でホストされているハードコード化された設定エンドポイントから取得され、脅威アクターは対象の宛先をリモートで更新できます。
フィッシングページは chroomewedbstorre-detail-extension[.]com というそっくりドメインでホストされており、Chrome Web Store ページと imToken のオンボーディングインターフェースの外観を模倣しています。
攻撃者はブランディングで Unicode 同形字を使用して、サイトを正当に見せながら単純な検出メカニズムを回避しています。
約束されたカラー可視化機能を提供する代わりに、拡張機能はインストールまたはクリックされるたびにユーザーをこのフィッシングインフラストラクチャにリダイレクトします。
拡張機能のリストには、ウォレットテーマのグラフィックス、5 つ星の評価、データが収集されないと述べるプライバシーポリシーなど、信頼を高めることを目的とした複数の要素も含まれています。
リダイレクト後、被害者は imToken の正当なオンボーディングフローを模倣する偽のウォレットインポートプロセスにガイドされます。
フィッシングページは 2 つの復旧オプションを提供しています。12 語または 24 語のシードフレーズを入力するか、ウォレットの秘密鍵を提供することです。
被害者が機密情報を送信した後、サイトは別のブラウザタブで正当なトークンをウェブサイトで開き、疑惑を軽減する可能性があります。
セキュリティ専門家は、ユーザーがインストールされたらしばしば信頼するため、ブラウザ拡張機能は強力な攻撃ベクトルとして機能できると警告しています。
imToken は現在、モバイルアプリとしてのみ利用可能であり、Chrome 拡張機能を提供していないため、ウォレットを代表すると主張するブラウザ拡張機能は疑いの目で扱うべきです。
翻訳元: https://cyberpress.org/fake-imtoken-extension-steals/