Socketの研究者は、このエクステンションが人気のあるimTokenウォレットブランドになりすまし、被害者にシードフレーズまたはプライベートキーを入力させるようにだまそうとしていると警告しています。
「このエクステンションはインストールされると同時に脅威行為者が管理するフィッシングサイトを自動的に開き、ユーザーがクリックするたびに再度開かれます」と研究者は述べました。
偽のimTokenエクステンション詐欺の内部
このキャンペーンは、150か国以上の2,000万人以上のユーザーにサービスを提供している広く使用されているノンカストディアル暗号資産ウォレットプラットフォームであるimTokenを特に標的としています。
ノンカストディアルウォレットは、ユーザーがプライベートキーと回復フレーズを完全に管理するため、取引所ベースのウォレットとは異なります。
このモデルはユーザーにデジタル資産の所有権をより多く与えますが、ウォレットのシードフレーズまたはプライベートキーを取得した誰もが、追加の認証制御をバイパスすることなく、関連するファンドを即座に完全に制御できることも意味します。
研究者は、悪意あるこのブラウザエクステンションが2026年2月2日にChromeウェブストアに公開されたことを発見しました。そこでは、無害な16進数カラービジュアライゼーションツールとして自身を提示しています。
このリストには、プロフェッショナルに見えるウォレットテーマの画像、5つ星の評価、およびエクステンションがユーザーデータを収集しないと主張するプライバシーポリシーが含まれています。これらの詳細は、ツールを一見合法的に見せ、ユーザーがそれをインストールする可能性を高めることができます。
しかし、imTokenは、そのウォレットはモバイルアプリケーションとしてのみ利用可能であり、Chromeブラウザエクステンションをリリースしたことがないことを確認しました。
同社は、imTokenブランドになりすました偽のブラウザエクステンションが既に暗号資産盗難と経済的損失をもたらしたことについて、ユーザーに警告しました。
悪意あるエクステンションの仕組み
一方、悪意あるエクステンション自体は意図的に最小限です。非常に少ないコードを含み、その説明で宣伝されているカラービジュアライゼーション機能を実行しません。
代わりに、エクステンションは主にフィッシングリダイレクタとして機能します。
そのバックグラウンドスクリプトは、JSONKeeperでホストされたリモート構成エンドポイントから宛先URLを取得し、攻撃者が管理するそっくりのウェブサイトにユーザーをリダイレクトする新しいブラウザタブを自動的に開きます。
攻撃者がシードフレーズを盗む方法
そのランディングページは、imTokenの正当なウォレットインポートインターフェースを密接に模倣するように設計されています。
フィッシングサイトを本物に見せるために、攻撃者は混合スクリプトユニコードホモグリフを使用しています。これは、標準的なラテン文字に視覚的に似ている異なる書記体系の文字です。
例えば、i、T、またはoに見える文字は、実は単純なテキストベースの検出システムをバイパスし、カジュアルな査察者を欺くために代用されたキリル文字またはギリシャ文字である場合があります。
被害者がフィッシングページに着陸すると、サイトは彼らを通常のウォレット回復プロセスに見える形で導きます。
ユーザーには2つのオプションが提示されます。12語または24語のシードフレーズを使用してウォレットをインポートするか、ウォレットのプライベートキーを直接入力するかです。
どちらの認証情報も、攻撃者がウォレットを再作成し、その暗号資産を攻撃者が管理するアドレスに転送するのに十分です。
被害者がシードフレーズまたはプライベートキーを送信した後、フィッシングワークフローは正当性の幻想を強化するように設計された追加のステップで続きます。
サイトはユーザーにウォレットの新しいパスワードを作成するよう促し、その後、ウォレットがアップグレードまたは同期されていると主張するロード画面を表示します。
プロセスは、攻撃者がウォレットを乗っ取るために必要な認証情報を既に取得しているにもかかわらず、被害者にインポートが正当であることを保証するために、正当なtoken[.]imサイトを新しいタブで開きます。
悪意あるエクステンションのリスクを軽減する方法
組織は、どのエクステンションをインストールできるかを制御し、その動作を監視するための措置を講じるべきです。
- 集中ポリシー管理によるブラウザエクステンションのインストール制限を行い、信頼できるパブリッシャーから承認されたエクステンションのみをホワイトリスト化します。
- 監視してください。リモート構成ファイルを取得し、外部の宛先を開き、または疑わしいインフラストラクチャに接続するエクステンションについてのブラウザおよびネットワークアクティビティを監視します。
- DNSフィルタリングとウェブゲートウェイを使用して、フィッシングキャンペーンで一般的に使用される新しく登録された、タイポスクワッティング、またはホモグリフベースのドメインをブロックします。
- ユーザーを訓練して、暗号資産ウォレットソフトウェアを公式ベンダー配布チャネルからのみインストールし、機密データを入力する前に正当なアプリケーションを確認します。
- エンタープライズデバイス全体にインストールされているブラウザエクステンションと権限の変更を監査して、疑わしいまたは不正なツールを特定します。
- ハードウェアウォレットまたはマルチシグ保護の使用や、シードフレーズまたはプライベートキーが公開された場合のキーの即座のローテーションなど、強いウォレットセキュリティ慣行を実装します。
- 定期的にインシデント対応計画とフィッシングシナリオプレイブックをテストしてください。
総体的に、これらのステップはエクステンションベースの攻撃の成功リスクを軽減するのに役立ちます。
攻撃ベクトルとしてのブラウザエクステンション
このキャンペーンは、ブラウザエクステンションがフィッシングと認証情報盗難の効果的な配信メカニズムになる可能性がある方法を強調しています。
正当なブランドになりすまし、説得力のあるユーザーインターフェースを活用することで、攻撃者は暗号資産ウォレットおよび他の機密データへのアクセスを得ることができます。
組織は、エクステンション管理をより広いエンドポイントセキュリティ戦略の一部として扱い、露出を減らすための強力な管理を強化すべきです。
層状のセキュリティアプローチの一部として、組織はユーザー、デバイス、およびアプリケーションを継続的に検証するゼロトラストソリューションを採用しています。
翻訳元: https://www.esecurityplanet.com/threats/malicious-chrome-extension-targets-imtoken-wallet-users/
