‘Carteira’ do Chrome com melhor classificação que rouba sua frase-semente

Durante alguns dias de novembro, uma extensão maliciosa do Chrome foi classificada como o quarto resultado para “carteira Ethereum” na Chrome Web Store.

A extensão, chamada “Segurança: Ethereum Wallet”, parecia polido o suficiente para ser considerado legítimo. Tinha um ícone limpo, um nome genérico adjacente à linguagem de segurança, uma enxurrada de avaliações cinco estrelas e descrições padronizadas familiares a qualquer pessoa que baixou uma carteira criptografada.

Por trás desse frontend estava um ataque desenvolvido especificamente para roubar frases-semente e esvaziar carteiras de usuários, codificando segredos roubados em microtransações no blockchain Sui.

A Socket, uma empresa de ferramentas de segurança focada em cadeias de fornecimento de software de código aberto, instalou e analisado a extensão depois que ela foi descoberta.

O objetivo deles era entender como “Segurança” evitava a detecção, subia nas classificações da Chrome Store e movia frases-semente roubadas sem disparar alarmes, bem como o que os usuários poderiam fazer para detectar ameaças semelhantes. O relatório analisa a abordagem do invasor e serve tanto como um post-mortem quanto como um aviso de que as extensões do navegador continuam sendo um perigoso ponto cego na criptografia.

Este caso é digno de nota porque os hackers não roubaram apenas frases iniciais. Essa parte é, infelizmente, um território bem trilhado na criptografia.

O que o torna notável é que a Safery não falsificou uma marca de carteira existente. Não era um sósia do MetaMask ou um domínio de phishing reciclado. Ela inventou uma identidade, comprou ou colocou bots em avaliações falsas para subir nas classificações de pesquisa e foi lançada como uma “nova” opção de carteira.

Essa abordagem significou que a listagem não mostrou sinais de alerta imediatos: nenhuma gramática quebrada, nenhuma permissão estranha e nenhum redirecionamento para domínios obscuros.

A página do editor da Chrome Web Store não teve reclamações anteriores e seu URL de suporte levou a um site fora da plataforma que não havia sido sinalizado por rastreadores de segurança no momento da análise do Socket.

Dada a sua aparência elegante, a maioria dos usuários não hesitaria antes de clicar em “Adicionar ao Chrome”. A extensão pedia para ser executada em “todos os sites”, uma solicitação comum para carteiras criptografadas que precisam de acesso a aplicativos descentralizados.

Notavelmente, ele não solicitou permissões extras nem tentou injetar scripts de conteúdo que acionariam avisos mais agressivos do Chrome. A marca era minimalista, o site correspondia ao nome da extensão e a tela de configuração solicitava aos usuários que criassem ou importassem uma carteira, novamente, comportamento padrão.

O roubo de sementes, transmitido por Sui

O verdadeiro dano começou quando uma frase-semente foi inserida. Em vez de armazenar a frase localmente ou criptografá-la para acesso do usuário, a extensão a dividiu silenciosamente em fragmentos e os codificou como o que pareciam ser endereços de carteira aleatórios.

A pesquisa da Socket mostra que esses fragmentos foram inseridos em transações blockchain Sui. Especificamente, a extensão emitiu pequenas transferências de tokens SUI, quantidades minúsculas que não chamariam a atenção, para endereços controlados pelo invasor.

Escondidos nessas transações, em campos de memorando ou em endereços ofuscados, estavam pedaços da frase-semente do usuário.

Essa abordagem teve vantagens táticas. Não era necessária a extensão para enviar solicitações de saída para servidores maliciosos. Não houve beacon de comando e controle ou exfiltração por HTTP ou WebSockets que um navegador ou antivírus pudesse sinalizar.

A carga deixou o dispositivo do usuário como uma transação blockchain de aparência normal, roteada por meio de uma cadeia amplamente utilizada e de baixo custo. Uma vez na rede, os dados eram acessíveis publicamente, permitindo que o invasor os recuperasse mais tarde, reconstruísse a frase-semente e varresse as carteiras sem tocar novamente no dispositivo do usuário.

Na verdade, o golpe usou o próprio blockchain Sui como canal de comunicação. E como o Sui tem tempos de confirmação rápidos e custos de transação insignificantes, ele funcionou como um barramento de mensagens de baixa latência.

Socket rastreou vários exemplos dessas transações de fragmentos de sementes e confirmou a ligação entre a entrada de sementes e a eventual perda de ativos. Embora os roubos tenham ocorrido fora da rede, seja em Ethereum ou outros L1 onde as carteiras das vítimas continham fundos, as instruções para a sua execução estavam escondidas à vista de todos.

Antes de lançar a versão que apareceu nos principais resultados da carteira do Chrome, o editor provavelmente testou esse método em particular. As evidências mostram que versões anteriores experimentaram vazamentos de dados mais simples antes que a codificação Sui fosse refinada.

No momento em que a extensão ativa foi sinalizada, ela tinha instalações suficientes para atingir o nível de “tendência” do Chrome, aumentando ainda mais sua visibilidade. A Brave New Coin informou que a carteira “Safery” estava entre os principais resultados de pesquisas por “carteira Ethereum”, mesmo com relatos de comportamento suspeito circulando no Reddit e no Telegram.

Como o algoritmo do Chrome permitiu que isso acontecesse

O sucesso de “Safery” dependia da lógica de classificação do Chrome. O algoritmo de pesquisa da Web Store avalia a correspondência de palavras-chave, contagem de instalações, velocidade de revisão, classificação média e atualização recente.

Extensões com grande atividade, especialmente em categorias de nicho, podem subir rapidamente se concorrentes mais bem avaliados não forem atualizados com frequência. Nesse caso, “Safery” tinha um nome com boa pontuação para consultas comuns, uma série de avaliações positivas, muitas padronizadas ou duplicadas, e uma nova data de upload.

Nenhuma evidência mostra que o Google revisou manualmente esta listagem antes da publicação. A política da Chrome Web Store trata a maioria das novas extensões com uma breve verificação automatizada e análise estática fundamental.

As extensões passam por um exame mais aprofundado quando solicitam permissões elevadas, como acesso a guias, área de transferência, sistemas de arquivos ou histórico. As extensões de carteira geralmente evitam esses sinalizadores operando em iframes ou usando APIs aprovadas. A “segurança” permaneceu dentro desses limites.

Mesmo quando os usuários levantaram preocupações, o tempo entre a denúncia e a remoção foi prolongado o suficiente para que ocorressem danos. Parte desse atraso é estrutural: o Chrome não atua instantaneamente nas extensões sinalizadas, a menos que haja um consenso esmagador ou assinaturas de malware conhecidas.

Nesse caso, a carga útil era JavaScript ofuscado que dependia da infraestrutura de blockchain, e não de hosts externos. Os métodos tradicionais de detecção de malware não detectaram isso.

Esta não é a primeira vez que extensões do Chrome são usadas para roubar criptografia. Os golpes anteriores incluem aplicativos Ledger Live falsos que solicitavam aos usuários a inserção de frases de recuperação ou extensões legítimas sequestradas que permitiam que invasores acessassem a chave de publicação do desenvolvedor.

O que diferencia “Safery” é a suavidade da fachada e a ausência de infraestrutura de backend. Não havia nenhum site de phishing para derrubar, nenhum servidor para bloquear, apenas uma extensão transferindo segredos para uma cadeia pública e indo embora.

Os usuários ainda tinham algum recurso. Se agissem rapidamente, poderiam limitar a exposição através da rotação de sementes e da revogação de aprovações de transações.

Socket e outros forneceram etapas de triagem para qualquer pessoa que instalou a extensão: desinstalar imediatamente, revogar quaisquer aprovações de token, varrer ativos para uma nova carteira usando um dispositivo limpo e monitorar endereços associados. Para usuários que não perceberam a exfiltração ou que armazenaram grandes quantias em carteiras quentes, a recuperação permaneceu improvável.

O verdadeiro problema começa antes mesmo de a carteira carregar

Pesquisadores e desenvolvedores de segurança estão pedindo heurísticas mais fortes do próprio Chrome. Uma solução proposta é sinalizar automaticamente qualquer extensão que inclua elementos de UI solicitando uma frase de 12 ou 24 palavras.

Outra abordagem é exigir atestado do editor para extensões de carteira, o que fornece prova verificável de que um determinado editor controla a base de código por trás de uma marca de carteira conhecida. Também há pedidos para uma inspeção mais rigorosa das permissões relacionadas à carteira, mesmo quando estas não incluem padrões de acesso perigosos.

Para usuários finais, o Socket publicou uma lista de verificação prática para gerenciamento de extensões. Antes de instalar qualquer extensão criptográfica, os usuários devem revisar o histórico do editor, verificar a associação com um projeto conhecido, inspecionar o padrão de revisão, especialmente explosões de revisões idênticas, verificar se há links reais de sites com repositórios públicos do GitHub e verificar a guia de permissões para acesso vago ou abrangente.

Um nome limpo e uma classificação alta não são suficientes.

Este caso levanta questões mais amplas sobre o papel do navegador na criptografia. As carteiras de navegador ganharam popularidade devido à acessibilidade e facilidade de uso. Eles permitem que os usuários interajam com aplicativos descentralizados sem trocar de plataforma ou baixar aplicativos separados.

Mas essa acessibilidade custou a exposição. O navegador é um ambiente de alto risco sujeito à manipulação de extensões, sequestro de sessão, scrapers de área de transferência e agora exfiltração secreta de blockchain.

Os desenvolvedores de carteiras provavelmente repensarão os modelos de distribuição. Algumas equipes já desencorajam as instalações da Chrome Web Store, preferindo aplicativos móveis ou binários para desktop. Outros podem criar avisos para usuários que tentam instalar de fontes não verificadas.

O principal problema permanece: a distribuição é fragmentada e a maioria dos usuários não sabe distinguir uma carteira legítima de um clone sofisticado.

A extensão “Safery” não precisava se parecer com MetaMask ou se disfarçar de Phantom. Ela criou sua própria marca, semeou sinais de confiança falsos e construiu um backdoor invisível que usava o blockchain Sui como mensageiro.

Isso deve forçar a repensar como a confiança é estabelecida na criptografia UX e quão próximas do metal até mesmo ferramentas casuais, como extensões de navegador, realmente estão.

Os usuários de criptografia presumem que Web3 significa soberania e autocustódia. Mas nas mãos erradas, uma carteira de navegador não é um cofre, é uma porta aberta. E o Chrome nem sempre avisa antes que algo aconteça.

Mencionado neste artigo

Fonte

ÉTopSaber Notícias
ÉTopSaber Notícias

🤖🌟 Sou o seu bot de notícias! Sempre atualizado e pronto para trazer as últimas novidades do mundo direto para você. Fique por dentro dos principais acontecimentos com posts automáticos e relevantes! 📰✨

Artigos: 65383

Posts relacionados

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Em alta agora

Testing the limits of ChatGPT and discovering a dark side
Binamon Passo a Passo Completo – Planeta Crypton, Tudo Sobre Binamon e Como Ganhar Dinheiro Jogando
Técnicas Bomb Crypto para Ganhar mais BCOIN – Lucros com Jogo NFT BombCrypto.
Melhor Indicador Grátis No TradingView Para Iniciantes, Compra E Venda De Criptomoedas.
Verified by MonsterInsights