Zhackowali Trust Wallet – a dokładniej ich rozszerzenie do Chrome. Użytkownikom skradziono w sumie ~$7000000

Atakujący uzyskali dostęp do konta firmy Trust Wallet – co umożliwiło opublikowanie nowej (złośliwej) wersji rozszerzenia do Chrome:

We’ve identified a security incident affecting Trust Wallet Browser Extension version 2.68 only. Users with Browser Extension 2.68 should disable and upgrade to 2.69.

Nota bene: sam Trust Wallet to jeden z mocniejszych graczy na rynku dookoła kryptowalut – jak sami się reklamują: The #1 crypto wallet, trusted by 220+ million people.

Jak doszło do hacku? Stawiałbym na podobną akcję do tej, która miała miejsce w tym roku (włam na konto firmy Cyberheaven):

• mail phishingowy do osób z Trust Wallet
• link do prawdziwej strony Google (logowanie do konta)
• ale ten link prosił ofiarę o nadanie uprawnień do publikowana nowych wersji rozszerzeń w Chrome Web Store [mało osób czyta komunikaty o bezpieczeństwie, więc pewnie ofiara machinalnie kliknęła OK]

Posiadając już uprawnienia, atakujący opublikowali złośliwą wersję rozszerzenia; następnie przeglądarki użytkowników automatycznie zaktualizowały rozszerzenie. Kluczowe dane (a dokładniej: kody odzyskiwania dostępu) były wysyłane na serwer wyglądający niby jak serwer analityki (api[.]metrics-trustwallet[.]com). W ten sposób atakujący mieli dostęp do portfeli kryptowalutowych ofiar i opróżnili ich konta.

Kilka rad / przemyśleń na koniec:

• Czy włączać automatyczne aktualizacje? To zależy od Twojego profilu ryzyka / podejścia do ryzyka. Czasem warto włączać / czasem nie
• Czytaj komunikaty o bezpieczeństwie (nie klikaj machinalnie OK na każdą ‘skomplikowaną prośbę’)
• Tego typu ataki potrafią omijać 2FA
• Minimalizuj liczbę rozszerzeń w przeglądarkach
  

PS
Trust Wallet zadeklarował, że zwróci skradzione środki ofiarom.

~Michał Sajdak