La empresa de seguridad SlowMist revela la verdad sobre el software malicioso de extensión de Chrome que robó millones de dólares

Recientemente, los usuarios de la comunidad criptográfica sufrieron importantes pérdidas de propiedad debido a la descarga de la extensión maliciosa de Chrome Aggr, que ha atraído una amplia atención. Para ayudar a los usuarios a comprender mejor los riesgos de las extensiones del navegador y mejorar sus propias capacidades de protección de seguridad, el equipo de seguridad de SlowMist 23pds analizó en detalle cómo funciona esta extensión maliciosa y brindó sugerencias prácticas de seguridad.

(Para más detalles, consulte el artículo original: Slow Mist: la extensión maliciosa de Chrome robó millones de dólares para resolver el misterio)

Llama la atención alerta comunitaria

El 3 de junio de 2024, el usuario de Twitter @CryptoNakamao publicó sobre su experiencia cuando le robaron $1 millón debido a la descarga de la extensión maliciosa de Chrome Aggr. Este incidente rápidamente provocó una discusión generalizada en la comunidad criptográfica, y los usuarios expresaron su preocupación por los riesgos de expansión y la seguridad de sus criptoactivos.

(¡El software de extensión de Google causó problemas! El millón de dólares que desapareció de la cuenta de Binance será difícil de recuperar incluso si te quedas quieto)

Análisis del equipo de seguridad de SlowMist

Ya el 31 de mayo, el equipo de seguridad de SlowMist publicó un informe de análisis detallado sobre la expansión Aggr, que revela sus malvados métodos. Este artículo ayuda a los usuarios a comprender los conocimientos básicos y los riesgos potenciales de las extensiones de Chrome a través de seis preguntas y respuestas, y proporciona sugerencias para contramedidas.

1. ¿Qué son las extensiones de Chrome?

Las extensiones de Chrome son complementos diseñados para el navegador de Google que amplían la funcionalidad y el comportamiento del navegador. Por lo general, se crean con tecnologías web como HTML, CSS y JavaScript. Las partes principales incluyen:

– Manifest.json: archivo de configuración extendido que define información básica.

– Script en segundo plano: maneja tareas en segundo plano.

– Guiones de contenido: interactúan con páginas web.

– Interfaz de usuario: como botones de la barra de herramientas, ventanas emergentes, etc.

2. ¿Qué hace la extensión de Chrome?

Las extensiones de Chrome sirven para una variedad de propósitos, que incluyen:

– Bloqueo de anuncios: Mejora la velocidad de carga de la página web y la experiencia del usuario, como AdBlock.

– Privacidad y seguridad: mejore la privacidad y seguridad del usuario como Privacy Badger.

– Herramientas de productividad: aumenta tu productividad, como Todoist.

– Herramientas de desarrollo: proporciona herramientas de depuración y desarrollo, como React Developer Tools.

– Redes sociales y comunicaciones: notificaciones útiles de redes sociales como Grammarly.

– Personalización de la página web: personalice la apariencia y el comportamiento de la página web, como Estilo.

– Automatizar tareas: ayuda a automatizar tareas repetitivas como iMacros.

– Traducción de idiomas: Traduce contenido web en tiempo real, como Google Translate.

– Asistencia de criptomonedas: Facilita el comercio de criptomonedas, como MetaMask.

3. ¿Qué permisos tiene la extensión de Chrome una vez instalada?

Las extensiones de Chrome pueden solicitar los siguientes permisos:

– <all_urls>: Accede a todo el contenido del sitio web.

– pestañas: accede a la información de las pestañas del navegador.

– activeTab: accede temporalmente a la pestaña actualmente activa.

– almacenamiento: utilice la API de almacenamiento de Chrome.

– Cookies: acceder y modificar las cookies en su navegador.

– webRequest: intercepta y modifica solicitudes de red.

– favoritos: acceder y modificar los favoritos del navegador.

– historial: accede y modifica el historial del navegador.

– notificaciones: muestra notificaciones de escritorio.

– contextMenus: agrega elementos de menú personalizados.

– geolocalización: acceder a la información de ubicación geográfica del usuario.

– clipboardRead y clipboardWrite: lee y escribe el contenido del portapapeles.

– descargas: administrar descargas.

– gestión: gestiona otras extensiones y aplicaciones.

– fondo: ejecuta tareas en segundo plano.

– webNavigation: monitorea y modifica el comportamiento de navegación del navegador.

Si bien estos permisos brindan una funcionalidad poderosa, también pueden acceder potencialmente a datos confidenciales de un usuario.

4. ¿Por qué las extensiones maliciosas de Chrome pueden robar los permisos de los usuarios?

Las extensiones maliciosas utilizan los permisos solicitados para robar información del usuario y datos de autenticación. Los métodos específicos incluyen:

– Solicitar permisos amplios: como acceso a todos los sitios, leer y modificar etiquetas, acceder al almacenamiento, etc.

– Manipular solicitudes de red: interceptar y modificar solicitudes de red y robar información de autenticación.

– Leer y escribir contenido de la página: leer y modificar datos de la página mediante código incrustado.

– Acceder al almacenamiento del navegador: acceda a datos locales que contienen información confidencial.

– Manipular el portapapeles: leer y manipular la información copiada y pegada por el usuario.

– Fingir ser un sitio web legítimo: inducir a los usuarios a introducir información sensible.

– Operación en segundo plano a largo plazo: monitoree continuamente las actividades del usuario y recopile datos.

– Descarga operativa: descarga y ejecuta archivos maliciosos que amenazan la seguridad del sistema.

5. ¿Cómo roban las extensiones maliciosas los derechos y fondos de los usuarios?

La extensión maliciosa Aggr aprovecha una amplia gama de permisos (como cookies, pestañas, <all_urls>, almacenamiento) para robar permisos y fondos de los usuarios de las siguientes maneras:

– Simular el inicio de sesión del usuario en la cuenta de la plataforma comercial.

– Transacciones y transferencias de fondos sin consentimiento.

– Acceder y recopilar información sensible.

– Cambiar la configuración de la cuenta y controlar las cuentas de usuario.

– Realizar ataques de ingeniería social para obtener aún más información confidencial.

6. ¿Qué puede hacer una extensión maliciosa después de robar cookies?

Las extensiones maliciosas pueden utilizar cookies robadas para:

– Acceder a la información de la cuenta.

– Realizar transacciones no autorizadas.

– Omitir la verificación de 2 pasos y retirar fondos.

– Acceder y recopilar información confidencial.

– Modificar la configuración de la cuenta.

– Hacerse pasar por usuarios para realizar ataques de ingeniería social.

Respuestas

Contramedidas para usuarios individuales

– Aumentar la conciencia sobre la seguridad personal: permanecer escéptico.

– Instale únicamente extensiones de fuentes confiables: lea reseñas de usuarios y solicitudes de permiso.

– Utilice un entorno de navegador seguro: evite instalar extensiones de fuentes desconocidas.

– Verifique periódicamente la actividad de la cuenta: tome medidas inmediatas si nota un comportamiento sospechoso.

– Utilice carteras de hardware: almacene grandes cantidades de activos.

– Configuración del navegador y herramientas de seguridad: reduce el riesgo de extensiones maliciosas.

– Utilizar software de seguridad: detectar y prevenir malware.

Sugerencias de control de riesgos para la plataforma.

– Imponer el uso de autenticación de dos factores (2FA): mantenga seguras las cuentas de usuario.

– Gestión y seguridad de sesiones: administre los dispositivos conectados e implemente políticas de tiempo de espera de sesión.

– Fortalecer la configuración de seguridad de la cuenta: envíe notificaciones de seguridad y proporcione funciones de congelación de cuentas.

– Fortalecer los sistemas de seguimiento y control de riesgos: monitorear el comportamiento de los usuarios e identificar transacciones anormales.

– Proporcionar a los usuarios educación y herramientas de seguridad: popularizar el conocimiento de seguridad y proporcionar herramientas de seguridad oficiales.

Es necesario equilibrar la seguridad y el negocio. Al tiempo que se protege la seguridad de las cuentas y los activos de los usuarios, las plataformas también deben considerar la experiencia del usuario. El equipo de seguridad de SlowMist recomienda que los usuarios se pregunten si es seguro antes de instalar software o complementos para evitar que las historias se conviertan en accidentes. Para obtener más conocimientos sobre seguridad, lea el "Manual de autorrescate de Blockchain Dark Forest" elaborado por SlowMist.

Este artículo, La empresa de seguridad de la información Slow Mist revela: La verdad sobre el software de extensión malicioso de Chrome que roba millones de dólares, apareció por primera vez en Chain News ABMedia.