Extensia MEGA de la Google Chrome a fost folosită de hackeri pentru a fura crypto monede

Extensia Google Chrome pentru serviciul de încărcare și partajare a fișierelor populare, MEGA, a fost compromisă de hackerii care doresc să fure acreditările de autentificare și cheile de criptare, conform informațiilor furnizate de cercetătorii din domeniul securității.

Serviciul, lansat de Kim Dotcom în 2013, după decesul MegaUpload, a fost eliminat din Chrome Web Store în prezent. SerHack a fost primul cercetător care a sunat alarma, avertizând într-un tweet pe 4 septembrie că versiunea 3.39.4 a extensiei a fost spartă și, foarte posibil, hackerii fură informațiile despre utilizatori, inclusiv numele de utilizator și parolele de pe mai multe platforme, inclusiv Amazon, Github, Google și Microsoft .

Furtul informațiilor de logare

Extensia compromisă MEGA monitorizează în mod activ informațiile despre utilizatori stocate în browser, căutând pentru șiruri de adrese URL care indică formulare de înregistrare sau de conectare. Datele despre astfel de formulare sunt apoi trimise unei gazde neidentificate din Ucraina numită https://www.megaopac.host/. De asemenea, codul rău intenționat monitorizează adrese URL specifice, cum ar fi “https://www.myetherwallet.com/*”, “https://mymonero.com/*” și “https://idex.market/*”. Dacă se detectează informații salvate, atunci se execută o funcție de javascript care încearcă să fure cheile private crypto de la utilizatorii conectați.

Confirmând hack-ul, MEGA a lansat o declarație în care se arată: “La 4 septembrie 2018 la ora 14:30 UTC, un atacator necunoscut a încărcat o versiune trojan a extensiei Chrome a MEGA, versiunea 3.39.4, la magazinul web Google Chrome. Dupa instalare sau autoupdate, va cere permisiuni ridicate (cititi si modificati toate datele de pe site-urile pe care le vizitati) pe care extensia reala a MEGA nu o cere si ar (daca permisiunile au fost acordate) exfiltrate acreditarile pentru site-uri, inclusiv amazon.com live. com, github.com, google.com (pentru conectarea la webstore), myetherwallet.com, mymonero.com, idex.market și POST POST la alte site-uri, la un server situat în Ucraina. Rețineți că acreditările mega.nz nu au fost exfiltrate. “

Google este de vină?

În declarația făcută publică, MEGA a acuzat Google că a eliminat capacitatea lor de a semna extensii, ceea ce a făcut mai ușor ca astfel de incidente să aibă loc.

Citește și: CUM INFLUENȚEAZĂ CĂUTĂRILE PE GOOGLE MODIFICAREA PREȚULUI MONEDEI BITCOIN

Într-un extras din declarație se arată: “Ne-ar plăcea să ne cerem scuze pentru acest incident semnificativ. MEGA folosește proceduri de eliberare strictă, cu revizuirea codului multi-partid, fluxul de lucru robust și semnăturile criptografice acolo unde este posibil. Din păcate, Google a decis să nu accepte semnăturile editorilor în extensiile Chrome și acum se bazează exclusiv pe semnarea acestora în mod automat după ce le-a încărcat în webserverul Chrome, ceea ce elimină o barieră importantă în calea compromisului extern. MEGAsync și extensia Firefox sunt semnate și găzduite de noi și, prin urmare, nu au putut fi victime ale acestui vector de atac. În timp ce aplicațiile noastre mobile sunt găzduite de Apple / Google / Microsoft, ele sunt semnate criptografic de noi și, prin urmare, sunt imune. “

Cercetătorii din domeniul securității care examinează extensia Firefox de la MEGA nu au văzut nicio dovadă de fraudă, ceea ce pare să susțină afirmațiile din declarația MEGA. Vorbind la Bleeping Computer, SerHack, care a descoperit inițial hack-ul, i-a sfătuit pe toți utilizatorii Chrome MEGA să dezinstaleze extensia imediat. El a mai spus că astfel de utilizatori ar trebui să își schimbe imediat toate parolele pe orice cont pe care l-ar fi putut folosi în browser, în special conturile referitoare la informații financiare sau guvernamentale.

CCN a raportat mai devreme că infractorii cibernetici dezvoltă continuu noi modalități de a fura crypto monede, trecând de la criptojacking la swapping sim, printre alte tactici.