Для тех, кто хочет знать все о мировом финансовом рынке, рынке ценных бумаг, криптовалютах, участниках финансового рынка и его структуре.

О мошеннических схемах, нацеленных на пользователей Huobi, MyEtherWallet и Blockchain.info

6

Вредоносные расширения или страницы, связанные с Huobi, хоть встречаются и не очень часто, однако опасны не меньше любых других мошеннических схем. Недавно я обнаружил сайт с эйрдропом для Huobi, на котором использовался отличный от ставшего уже привычным мне фишингового набора компонентов для MyEtherWallet. Сайт проверял по вводимому публичному адресу, есть ли на этом адресе токены Huobi Airdrop (которые на самом деле являются поддельными токенами, ассоциированными с другим мошенничеством). Если ввести адрес, на котором нет нужных токенов, сервер всё равно вернёт ответ с фишинговыми компонентами.

Когда вы вводите свой публичный адрес, сервер злоумышленников возвращает новый HTML-документ, фишинговый сайт HuobiGlobal с подложным MyEtherWallet. Этот HTML-документ содержит ссылку на PHP скрипт, который привлёк моё внимание.

Скрипт redir.php – это вредоносный набор компонентов для MyEtherWallet, предназначенный для кражи ваших ключей.

Этот скрипт сохраняет ваш секретный ключ в cookie-файле и запускает другой PHP-скрипт.

Сетевой запрос, сохраняющий секретный ключ в cookie-файле и отправляющий его в postback.php

Если вы введёте свой секретный ключ, он станет доступен злоумышленникам, и вы потеряете свои средства.

*   *   *

Поскольку я не встречал большого количества фишинговых/мошеннических доменов Huobi, я решил поискать ещё. Я наткнулся на ERC20-токен, рекламирующий вебсайт эйрдропа, в котором приняло участие ~ 20 000 Ethereum-адресов.

При достаточном капитале это используется как способ продвижения в блокчейн-сфере.

Токен, рекламирующий вебсайт

Если посмотреть на адрес, финансирующий транзакции (через 19 прокси-адресов, т.е.: 0x0b88a083dc7b8ac2a84eba02e4acb2e5f2d3063c) и создание контракта из адреса 0x15ccc4ab2cfdb27fc4818bf481f7ed0352d8c6b3, то можно увидеть, что злоумышленник:

  • создал 18 контрактов между блоками 6 708 041 и 7 249 374;
  • все контракты, кроме одного, рекламируют сайт huobiairdrop.com; исключение – просто тестовый контракт;
  • токен с рекламой huobiairdrop.com был отправлен на 62 132 адресов.

Вот дамп созданных 0x15cc…c6b3 адресов контрактов с рекламой huobiairdrop.com по состоянию на блок 7362119:

А вот дамп прокси-адресов, использовавшихся для эйрдропа токенов – все они финансировались с адреса 0x15cc…c6b3 и на всех прокси-адресах хранились аналогичные суммы (после финансирования в размере 5 ETH и отправки x транзакций), поэтому можно предположить, что они все имеют отношение к описываемому сценарию.

Глядя на huobiairdrop.com

Итак, я загрузил виртуальную машину, перешёл к домену и увидел похожее на настоящее предупреждение Google, которое, впрочем, меня несколько смутило – я не знал, что Google обнаруживает подобный криптоджекинг…

Поддельное предупреждение о криптоджекинге

Я попробовал включить MetaMask, и уведомление изменило вид на поддельное предупреждение MetaMask, притом что я знаю, что MetaMask не предупреждает о криптоджекинге.

Поддельное предупреждение MetaMask

Так или иначе, я решил посмотреть , и увидел, что он связан с расширением для Google Chrome; ID расширения: coigcglbjbcoklkkfnombicaacmkphcm (NoCoin — Block Coin Miners)

По состоянию на начало марта, когда я проводил свой эксперимент, у этого вредоносного расширения было 230 пользователей

Я подумал, что ссылки на это расширение со страниц предупреждения Google и MetaMask выглядят очень странно, и решил исследовать этот вопрос подробнее.

Глядя на “NoCoin – Block Coin Miners”

Я запустил новую виртуальную машину (поскольку не знал, что расширение будет делать, к тому же я перешёл из недоверенного/подозрительного а).

Поначалу казалось, что расширение делает ровно то, что заявлено – обнаруживает различные криптоджекинговые скрипты (CoinHive, MinerAlt, WebminerPool) и отчитывается о результатах через внятный пользовательский интерфейс.

Судя по UI, расширение исправно делает свою работу

Я полагал, что активность расширения вряд ли этим ограничивается, учитывая, насколько подозрительным путём я на него вышел.

Заглянув в исходный код, я заметил две вещи:

  • расширение отслеживает и захватывает все веб-запросы, прикрепляя EventListener к onBeforeRequest и onHeadersReceived;
  • в зависимости от сетевой активности, оно строило домен на .top (домен верхнего уровня, известный большим количеством спама, по данным Spamhaus).

Это подтверждало моё впечатление о том, что функция кода расширения выходит за рамки обнаружения криптоджекинга, и я решил попробовать поэкспериментировать с этим кодом.

Во-первых, я хотел узнать, что EventListener делал для onHeadersReceived, потому что он перезаписывал значение Content-Security-Policy.

Логика, использованная для изменения CSP для определённых запросов

Я решил модифицировать код таким образом, чтобы он воспроизводил эту логику при каждом запросе.

Оказалось, что расширение перезаписывает CSP, чтобы получить возможность «безопасно» вставлять код из непроверенных ов.

Теперь давайте посмотрим, что EventListener делает с onBeforeRequest. Он проверяет, равен ли URL определённому хешу, а потом указывает браузеру загрузить отдельный ресурс, используя redirectUrl.

Логика, используемая для загрузки внешних ресурсов через redirectUrl

Однако эта логика выполняется, только если хеш URL имеет одно из двух значений, но что это за хеши?

Ok, значит расширение захватывает запросы к доменам blockchain.com и myetherwallet.com.

Вот список доменов, контролируемых злоумышленником:

Глядя на MyEtherWallet.com

Итак, теперь мы знаем, что мишенью является myetherwallet.com и что расширение изменяет политику CSP, чтобы подменять вводимые запросы на адреса внешних ресурсов. Давайте посмотрим, что оно делает.

Поскольку код ищет в ресурсе подстроку master или chunk, основной мишенью является домен vintage.myetherwallet.com для перезаписи файла etherwallet-master.js.

Мы можем взглянуть на это, не допуская захвата CSP.

Итак, теперь, когда мы знаем, что вредоносное расширение подменяет основной JS, давайте введём наш секретный ключ и посмотрим, куда оно его отправит.

Скрипт отправляет секретный ключ другому PHP-скрипту как часть строки запроса

Вот оно, наш секретный ключ был отправлен злоумышленникам.

Обратите внимание, что, поскольку CSP был захвачен, мы не получаем никаких уведомлений о попытке загрузки внешних ресурсов, и с точки зрения пользователя расширение работает так, как предполагалось, а сертификат EV остаётся нетронутым. То, что расширение при этом исполняет свою заявленную функцию обнаружения криптоджекинга, тоже довольно умное решение, поскольку так его нежелательная активность какое-то время будет оставаться незамеченной непараноидальными пользователями.

Глядя на Blockchain.com

Нам известно, что ещё одной мишенью является blockchain.com, поэтому давайте немного модифицируем сценарий, чтобы захватить CSP и посмотреть, что он попытается загрузить.

Мы видим, что расширение пытается загрузить вредоносные версии manifest.1550618679966.js, vendor.b18ffdf080.js и app.46d4854459.js в рамках логики входа в аккаунт.

Что можно сделать, чтобы обезопасить себя?

Нужно вести себя осмысленно и осторожно. Ответственность за нашу безопасность лежит на нас самих. Бойтесь данайцев, дары приносящих.

  • Никогда не устанавливайте расширения, которые могут изменять DOM на непроверенный вами или доверенным ом.
  • Не следует слепо доверять предупреждениям о безопасности, предлагающим установить некое программное обеспечение; в предупреждениях MetaMask (например, о фишинге) в адресной строке браузера всегда будет значиться адрес расширения.
  • Никогда не вводите свои секретные ключи онлайн – всегда используйте офлайн-механизмы подписи (например, Ledger Wallet, TREZOR или Parity Signer).

Домены, причастные к описанной в этой статье кампании, перечислены на EtherScamDB:

  • https://etherscamdb.info/domain/huobi-airdrop.org
  • https://etherscamdb.info/domain/huobiairdrop.co
  • https://etherscamdb.info/domain/huobiairdrop.com

Они также были включены в чёрный список на MetaMask и EtherAddressLookup, чтобы обезопасить вас от их посещения.

Подписывайтесь на BitNovosti в Telegram!
Делитесь вашим мнением об этой статье в комментариях ниже.

Источник: bitnovosti.com