Как взламывают Metamask
https://securelist.com/the-bluenoroff-cryptocurrency-hunt-is-still-on/105488/Выборочный переводКража криптовалюты
В некоторых случаях, когда злоумышленники понимали, что нашли нужную цель, они тщательно следили за пользователем в течение недель или месяцев. Они собирали нажатия клавиш и отслеживали ежедневные операции, планируя стратегию финансового воровства.
Если злоумышленники понимают, что цель использует популярное расширение браузера для управления криптокошельками (например, расширение Metamask), они меняют источник расширения с Интернет-магазина на локальное хранилище и заменяют основной компонент расширения (backgorund.js) поддельной версией. Сначала они заинтересованы в мониторинге транзакций. На приведенном ниже снимке экрана показано сравнение двух файлов: легитимного файла Metamask background.js и его скомпрометированного варианта с внедренными строками кода, выделенными желтым цветом. Вы можете видеть, что в этом случае они настроили мониторинг транзакций между конкретным адресом отправителя и получателя. Мы считаем, что у них есть обширная инфраструктура мониторинга, которая запускает уведомление при обнаружении крупных переводов.
Детали транзакции автоматически отправляются через HTTP на сервер C2:
В другом случае они поняли, что пользователь владеет значительным количеством криптовалюты, но использовал аппаратный кошелек. Тот же метод был использован для кражи средств у этого пользователя: они перехватили процесс транзакции и внедрили свою логику.
Все это звучит просто, но на самом деле требует тщательного анализа расширения Metamask Chrome, которое представляет собой более 6 МБ кода JavaScript (около 170 000 строк кода), и реализации внедрения кода, который перезаписывает детали транзакции по запросу при использовании расширения.
Таким образом, когда скомпрометированный пользователь переводит средства на другой счет, транзакция подписывается на аппаратном кошельке. Однако, учитывая, что действие было инициировано пользователем в самый нужный момент, пользователь не подозревает, что происходит что-то подозрительное, и подтверждает транзакцию на защищенном устройстве, не обращая внимания на детали транзакции. Пользователь не слишком беспокоится, когда размер платежа, который он вводит, невелик, а ошибка кажется незначительной. Однако злоумышленники изменяют не только адрес получателя, но и доводят количество валюты до предела, по сути сливая счет одним ходом.
Внедрение очень сложно найти вручную, если вы не очень хорошо знакомы с кодовой базой Metamask. Однако модификация расширения Chrome оставляет след. Браузер должен быть переведен в режим разработчика, а расширение Metamask установлено из локального каталога, а не из интернет-магазина. Если плагин поступает из магазина, Chrome применяет проверку цифровой подписи для кода и гарантирует целостность кода. Так что, если вы сомневаетесь, немедленно проверьте расширение Metamask и настройки Chrome.
Жертвы SnatchCryptoЦель кампании SnatchCrypto не ограничивается конкретными странами и континентами. Эта кампания нацелена на различные компании, которые по роду своей деятельности имеют дело с криптовалютами и смарт-контрактами, DeFi, блокчейнами и индустрией FinTech.
По нашей телеметрии мы обнаружили жертв из России, Польши, Словении, Украины, Чехии, Китая, Индии, США, Гонконга, Сингапура, ОАЭ и Вьетнама. Однако, основываясь на укороченной истории кликов по URL-адресам и документах-приманках, мы считаем, что жертв этой финансово мотивированной кампании атаки было больше.
На аппаратном кошельке нужно всегда проверять детали перевода!