"הארנק הזדוני": כיצד תוסף כרום הצליח לגנוב ביטויי גיבוי מבלי לעורר חשד
בחודש נובמבר האחרון התגלה תוסף זדוני לדפדפן כרום, שדורג כתוצאה הרביעית לחיפוש "ארנק את'ריום" בחנות האפליקציות של כרום. התוסף, שנקרא "Safery: Ethereum Wallet", הציג עצמו כלגיטימי וזכה לשפע של ביקורות חמישה כוכבים. אולם, מאחורי המראה המלוטש הסתתרה מתקפה מתוכננת שמטרתה לגנוב ביטויי גיבוי ולרוקן ארנקים של משתמשים.
התוסף הצליח להטעות את המשתמשים באמצעות מיתוג מינימליסטי ושימוש בממשק סטנדרטי המוכר לכל מי שהוריד ארנק קריפטו. חברת Socket, המתמחה באבטחה לשרשראות אספקת תוכנה, התקינה וניתחה את התוסף במטרה להבין כיצד הוא עבד והצליח להימנע מגילוי.
מה שמייחד את "Safery" הוא שהוא לא התחזה למותג קיים כמו MetaMask, אלא יצר זהות חדשה ורכש ביקורות מזויפות כדי לטפס בדירוגים. התוסף לא הציג דגלים אדומים מיידיים ולא דרש הרשאות חשודות, מה שהפך אותו לקשה לזיהוי כתוסף זדוני.
ברגע שהמשתמשים הזינו ביטוי גיבוי, התוסף חילק אותו לפרגמנטים וקודד אותם לטרנזקציות בבלוקצ'יין Sui. כך התוקף יכול היה לשחזר את הביטויים ולנקות ארנקים מבלי לגעת במכשיר המשתמש. השיטה המתקדמת הזו אפשרה לתוקף להשתמש בבלוקצ'יין Sui כערוץ תקשורת מהיר וזול.
הצלחתו של "Safery" התבססה על האלגוריתם של חנות האפליקציות של כרום, שמשקלל התאמת מילות מפתח, מספר התקנות ודירוג ממוצע. שם התוסף הצליח לקלוע לשאילתות נפוצות, והביקורות החיוביות והמזויפות סייעו לו לטפס לדירוגים הגבוהים.
מקרה זה מדגיש את הסכנות הקיימות בתוספי דפדפן, במיוחד בעולם הקריפטו. תוספי כרום כבר שימשו בעבר לגניבות קריפטו, אך הייחוד של "Safery" הוא בהיעדר תשתית אחורית גלויה, מה שהקשה על זיהויו.
[תמונה] A realistic depiction of a user adding a Chrome extension [/תמונה]
האם יצא לכם להיתקל בתוספי דפדפן זדוניים? כיצד אתם נזהרים בעת הורדת תוספים חדשים? שתפו מחשבותיכם ונסיונכם בתגובות!