Как взламывают Metamask
https://securelist.com/the-bluenoroff-cryptocurrency-hunt-is-still-on/105488/Выборочный переводКража криптовалюты
В некоторых случаях, когда злоумышленники понимали, что нашли нужную цель, они тщательно следили за пользователем в течение недель или месяцев. Они собирали нажатия клавиш и отслеживали ежедневные операции, планируя стратегию финансового воровства.
Если злоумышленники понимают, что цель использует популярное расширение браузера для управления криптокошельками (например, расширение Metamask), они меняют источник расширения с Интернет-магазина на локальное хранилище и заменяют основной компонент расширения (backgorund.js) поддельной версией. Сначала они заинтересованы в мониторинге транзакций. На приведенном ниже снимке экрана показано сравнение двух файлов: легитимного файла Metamask background.js и его скомпрометированного варианта с внедренными строками кода, выделенными желтым цветом. Вы можете видеть, что в этом случае они настроили мониторинг транзакций между конкретным адресом отправителя и получателя. Мы считаем, что у них есть обширная инфраструктура мониторинга, которая запускает уведомление при обнаружении крупных переводов.
![](https://ip.bitcointalk.org/?u=https%3A%2F%2Fi.ibb.co%2F6m3T2VT%2FBlue-Noroff-Cryptocurrency-Hunt-Is-Still-On-13-1024x493.png&t=663&c=Ij2k-s2KAgtOVQ)
Детали транзакции автоматически отправляются через HTTP на сервер C2:
![](https://ip.bitcointalk.org/?u=https%3A%2F%2Fi.ibb.co%2FtQsLY8Z%2FBlue-Noroff-Cryptocurrency-Hunt-Is-Still-On-14.png&t=663&c=jL_aOEmAoALUaA)
В другом случае они поняли, что пользователь владеет значительным количеством криптовалюты, но использовал аппаратный кошелек. Тот же метод был использован для кражи средств у этого пользователя: они перехватили процесс транзакции и внедрили свою логику.
Все это звучит просто, но на самом деле требует тщательного анализа расширения Metamask Chrome, которое представляет собой более 6 МБ кода JavaScript (около 170 000 строк кода), и реализации внедрения кода, который перезаписывает детали транзакции по запросу при использовании расширения.
![](https://ip.bitcointalk.org/?u=https%3A%2F%2Fi.ibb.co%2F7WBtPjC%2FBlue-Noroff-Cryptocurrency-Hunt-Is-Still-On-13-1024x493.png&t=663&c=wuM6H2YbjwF9_Q)
Таким образом, когда скомпрометированный пользователь переводит средства на другой счет, транзакция подписывается на аппаратном кошельке. Однако, учитывая, что действие было инициировано пользователем в самый нужный момент, пользователь не подозревает, что происходит что-то подозрительное, и подтверждает транзакцию на защищенном устройстве, не обращая внимания на детали транзакции. Пользователь не слишком беспокоится, когда размер платежа, который он вводит, невелик, а ошибка кажется незначительной. Однако злоумышленники изменяют не только адрес получателя, но и доводят количество валюты до предела, по сути сливая счет одним ходом.
Внедрение очень сложно найти вручную, если вы не очень хорошо знакомы с кодовой базой Metamask. Однако модификация расширения Chrome оставляет след. Браузер должен быть переведен в режим разработчика, а расширение Metamask установлено из локального каталога, а не из интернет-магазина. Если плагин поступает из магазина, Chrome применяет проверку цифровой подписи для кода и гарантирует целостность кода. Так что, если вы сомневаетесь, немедленно проверьте расширение Metamask и настройки Chrome.
Жертвы SnatchCryptoЦель кампании SnatchCrypto не ограничивается конкретными странами и континентами. Эта кампания нацелена на различные компании, которые по роду своей деятельности имеют дело с криптовалютами и смарт-контрактами, DeFi, блокчейнами и индустрией FinTech.
По нашей телеметрии мы обнаружили жертв из России, Польши, Словении, Украины, Чехии, Китая, Индии, США, Гонконга, Сингапура, ОАЭ и Вьетнама. Однако, основываясь на укороченной истории кликов по URL-адресам и документах-приманках, мы считаем, что жертв этой финансово мотивированной кампании атаки было больше.
На аппаратном кошельке нужно всегда проверять детали перевода!