Les utilisateurs de crypto rendus vulnérables via une fausse extension Google Chrome

Les utilisateurs de crypto ont découvert une extension Google Chrome nuisible conçue pour voler des fonds en manipulant les données des cookies du site Web.

Le trader Binance « doomxbt » a repéré le problème pour la première fois en février après avoir remarqué 70 000 $ de pertes liées à une activité suspecte. L’attaquant a initialement déposé les fonds volés sur SideShift, un échange cryptographique alimenté par l’IA.

j’ai été compromis d’une manière étrange et mon @binance le compte a été vidé, de nulle part j’ai entendu des notifications sonores concernant les commandes exécutées alors que je n’en avais jamais passé – tout à coup, mon montant de 70 000 était soudainement de 0 à l’écran pic.twitter.com/NEkSQVbBQc

— 𝔡𝔬𝔬𝔪 (@doomxbt) 29 février 2024

Mardi, le coupable était aurait lié à une fausse extension d’application Aggr sur la boutique Chrome de Google. Contrairement à l’application légitime Aggr qui fournit des outils de trading professionnels tels que des trackers de liquidation en chaîne, la version malveillante incluait du code pour collecter tous les cookies du site Web auprès des utilisateurs, permettant aux pirates de reconstruire les mots de passe et les clés des utilisateurs, en particulier pour les comptes Binance.

⚠️NE TÉLÉCHARGEZ PAS L’EXTENSION AGGR CHROME⚠️

Nous avons enfin trouvé comment @doomxbt a perdu ses fonds sur Binance.
Il existe une application malveillante Aggr sur la boutique Chrome avec de bonnes critiques qui vole tous les cookies sur tous les sites Web que vous visitez, et il y a 2 mois, quelqu’un a payé une poignée d’influenceurs… pic.twitter.com/XEPbwKX0XW

– Arbre (🌲,🌲) (@Tree_of_Alpha) 28 mai 2024

Une diligence raisonnable incompétente de la part des influenceurs crypto ou une arnaque élaborée ?

Une fois la fausse application Aggr disponible sur le Chrome Store, les pirates ont lancé une campagne sur les réseaux sociaux pour encourager les téléchargements.

Les développeurs ont embauché un réseau d’influenceurs pour promouvoir les logiciels malveillants selon un processus appelé « shilling ». Les comptes de réseaux sociaux ont rempli les chronologies de mots à la mode pour convaincre les utilisateurs que l’outil était nécessaire.

Dans ce cas, ces influenceurs ont soit oublié le chant crypto populaire « faites vos propres recherches » AKA « DYOR », soit l’ont ignoré. On ne sait pas si les promoteurs savaient que le faux Aggr rendait les utilisateurs vulnérables ou si les comptes de réseaux sociaux ont profité de l’attaque.

À la suite de l’incident, crypto.news a contacté certains promoteurs pour obtenir leurs commentaires, mais au moins un a bloqué la demande.

Cet incident s’inscrit dans une tendance plus large, puisque des attaques similaires utilisant des extensions Chrome se sont produites récemment. Le mois dernier, un trader a perdu plus de 800 000 $ d’actifs numériques après interagir avec deux extensions malveillantes du navigateur Chrome. Il est conseillé aux utilisateurs de DYOR et de revérifier toute application avant de la télécharger sur des appareils.

À première vue, l’extension est pour l’essentiel inoffensive, elle importe un petit fichier “background.js” et l’extension javascript populaire “jquery”. pic.twitter.com/lxFcSvxP4V

– Arbre (🌲,🌲) (@Tree_of_Alpha) 28 mai 2024