17 Ocak 2025

Huobi, MyEtherWallet ve Blockchain.info kullanıcılarını hedef alan dolandırıcılık programları hakkında

Huobi ile ilgili kötü amaçlı uzantılar veya sayfalar çok yaygın olmasa da tehlikeli değildirdiğer sahte programlardan daha az. Geçenlerde Huobi için, zaten bana tanıdık gelen MyEtherWallet için farklı bir kimlik avı seti kullanan bir web sitesini keşfettim. Site, bu adreste herhangi bir Huobi Airdrop jetonu olup olmadığını (diğer sahtekârlıklarla ilişkilendirilmiş sahte jetonlar) olup olmadığını açık olarak girerek kontrol etti. Gerekli belirteçlerin bulunmadığı bir adres girerseniz, sunucu kimlik avı bileşenleriyle ilgili bir yanıt döndürür.

Genel adresinizi girdiğinizde, sunucuSaldırgan, yeni bir HTML belgesi, sahte bir MyEtherWallet içeren bir HuobiGlobal kimlik avı sitesi döndürür. Bu HTML belgesi, dikkatimi çeken bir PHP betiğine bağlantı içeriyor.

Redir.php betiği, anahtarlarınızı çalmak için tasarlanmış MyEtherWallet için zararlı bir bileşen kümesidir.

Bu komut dosyası, özel anahtarınızı bir tanımlama bilgisine kaydeder ve başka bir PHP komut dosyası çalıştırır.

Özel anahtarı bir çerezde depolayan ve bunu postback.php adresine gönderen bir ağ isteği

Gizli anahtarınızı girerseniz, saldırganlara açık olacak ve paranızı kaybedeceksiniz.

*   *   *

Çok fazla tanışmadığımdan beriHuobi phishing / dolandırıcılık alanları, daha fazla arama yapmaya karar verdim. 20.000 Ethereum adresinin yer aldığı bir uçak web sitesinin reklamını yapan bir ERC20 belirteciyle karşılaştım.

Yeterli sermaye ile bu, blok zinciri alanında ilerlemenin bir yolu olarak kullanılır.

Web Sitesi Simgesi

Adres finansmanına bakarsanızişlemleri (19 proxy adresleri, yani .: 0x0b88a083dc7b8ac2a84eba02e4acb2e5f2d3063c aracılığıyla) ve 0x15ccc4ab2cfdb27fc4818bf481f7ed0352d8c6b3 adresinden bir sözleşme oluşturarak: saldırganı görebilirsiniz:

  • bloklar arasında 6 708 041 ve 7 249 374 arasında 18 sözleşme yapıldı;
  • sözleşmelerden biri hariç hepsi huobiairdrop.com'u tanıtıyor; istisna sadece bir test sözleşmesidir;
  • huobiairdrop.com reklam belirteci 62.132 adrese gönderildi.

İşte 7362119 bloğu itibarıyla huobiairdrop.com reklamcılığıyla yapılan sözleşmelerin oluşturulan 0x15cc…c6b3 adreslerinin bir dökümü:

0x219b9040eb7d8d8c2e8e84b87ce9ac1c83071980

0xb331728743d45a6470b8798320f2c173d41e4bfb

0x6727816581215d1a7389bb1e9afc7ae7bf2fd5d1

0x596f83e44d6e62fc886222afea468e14f4c3fec7

0x36794518b3ef84c4b1a40af9540a03292f692c38

0x8fa86218ec14bb207b5ae404c60a836c3d7cbb3a

0x7f30f5955b7605b96421e7c170edbbc45b373cd9

0x53e00c6a2887f71bed5340ce369675ddaff4f42a

0x9c6625dc8333b633c40a0c2f2a49379363763ba0

0x6c3bb918a1242ba4e32908d7bf4addd7ef651e74

0x7d4bf678252c1c85aa46e032bf70e76439ee1708

0x697a260ba6365ab241f7aef057da3587f0c255ca

0x7db95f8d8d80a75d768a2f8b0be392ff901d3fc8

0x409de70d8ad0135e6fd91f343899b93d903c998b

0xbd806a9a7ad8ce9d36048861dd63a295a3c9d5f2

0x203daffa152dafaf2a859029f729b364fc8540f8

Ve burada kullanılan proxy adreslerinin bir dökümü varjetonların airdrop'u - hepsi 0x15cc…c6b3 adresinden finanse edildi ve benzer miktarlar tüm proxy adreslerinde saklandı (5 ETH tutarında fonlama yapıldıktan ve gönderildikten sonra)xişlemler), dolayısıyla hepsinin açıklanan senaryoyla ilgili olduğunu varsayabiliriz.

0xb179778356bebad15bd4b238f1384288cb477378

0x65d471996e4925e0acd113c6bb47cbf96fbc581f

0x2e5b15ea47129fdcc351360c896563ff0aa5b2fc

0x0e464ba1d597ac772b86fb5a93a82bb397e8c438

0x0b19448105c56dc68244e5715b5a78b5e06ccc9d

0x24e55688d74f902e478e638b8bf4339cd92adc8b

0x0ef221408918939419e03f48b126436fd72051ca

0x5ed89913028bb07d3c0b0cb68a78234027563ef8

0xe82ac313c98be7c7f921fee5ef52da868fdb79dd

0x348413142a330edc6e8f4fb932ab656a63a1a9b4

0x4fbf7701b3078b5bed6f3e64df3ae09650ee7de5

0x691da2826ac32bbf2a4b5d6f2a07ce07552a9a8e

0xa33b95ea28542ada32117b60e4f5b4cb7d1fc19b

0xe06ed65924db2e7b4c83e07079a424c8a36701e5

0x1b1b391d1026a4e3fb7f082ede068b25358a61f2

0xbbfd8041ebde22a7f3e19600b4bab4925cc97f7d

0xecd91d07b1b6b81d24f2a469de8e47e3fe3050fd

0x2ef1b70f195fd0432f9c36fb2ef7c99629b0398c

0x0b88a083dc7b8ac2a84eba02e4acb2e5f2d3063c

0xc2e90df58f0d93d677f0d8e7e5afe3b1584bb5ab

Huobiairdrop.com'u arıyorsunuz

Özet (eğer birçok harf varsa): Site, CSP başlıklarını ve ağ isteklerini yakalayan, MyEtherWallet.com ve Blockchain.com sayfalarına kötü amaçlı komut dosyaları ekleyen bir tarayıcı uzantısı yüklemeyi önerir.

Böylece sanal makineyi başlattım, şuraya gittim:alan adını aradım ve gerçeğine benzer bir Google uyarısı gördüm, ancak bu biraz kafamı karıştırdı - Google'ın bu tür kripto korsanlığı tespit ettiğini bilmiyordum…

Sahte kripto para birimi uyarısı

MetaMask'ı açmayı denedim ve MetaMask'in kripto çalma konusunda uyarmadığını bilmeme rağmen, bildirim sahte bir MetaMask uyarısı görünümünü değiştirdi.

Sahte MetaMask Uyarısı

Öyle ya da böyle, kaynağa bakmaya karar verdim ve bunun Google Chrome uzantısıyla ilgili olduğunu gördüm; Dahili Kimlik: coigcglbjbcoklkkfnombicaacmkphcm (NoCoin - Blok Para Madencileri)

Denememi yürüttüğüm Mart ayı başından itibaren bu kötü amaçlı uzantının 230 kullanıcısı vardı

Bu uzantıya Google ve MetaMask uyarı sayfalarından gelen bağlantıların çok garip göründüğünü ve bu konuyu daha ayrıntılı olarak araştırmaya karar verdiğimi düşündüm.

“NoCoin - Blok Para Madencileri” ne bakıyor

Yeni bir sanal makine başlattım (çünkü uzantının ne yapacağını bilmiyordum, ayrıca güvenilmeyen / şüpheli bir kaynaktan geçtim).

İlk başta, uzatma tam olarak yapmak gibiydiiddia edilen - çeşitli kripto-jacking komut dosyalarını (CoinHive, MinerAlt, WebminerPool) algılar ve net bir kullanıcı arayüzü aracılığıyla sonuçları rapor eder.

UI tarafından bakılırsa, uzantı işini doğru bir şekilde yapıyor

Uzatma faaliyetinin, ne kadar şüpheli bir şekilde gittiğim göz önüne alındığında, bununla sınırlı kalmayacağına inanıyordum.

Kaynak koduna baktığımda, iki şey farkettim:

  • uzantı onBeforeRequest ve onHeadersReceived öğesine bir EventListener ekleyerek tüm web isteklerini izler ve yakalar;
  • ağ etkinliğine bağlı olarak, .top (Spamhaus'a göre çok fazla spam ile bilinen üst düzey bir etki alanı) üzerine bir etki alanı oluşturdu.

Bu, uzantı kodunun işlevinin kripto-jacking algılama kapsamının ötesinde olduğu izlenimini doğruladı ve bu kodla denemeye karar verdim.

Öncelikle, ContentListener'ın onHeadersReceived için ne yaptığını bilmek istedim çünkü Content-Security-Policy değerinin üzerine yazıyordu.

Belirli istekler için CSP'yi değiştirmek için kullanılan mantık

Bu mantığı her istekle yeniden oluşturacak şekilde kodu değiştirmeye karar verdim.

Uzantının, CSP'yi "güvenli bir şekilde" kullanabilmek için üzerine yazdığı ortaya çıktı. doğrulanmamış kaynaklardan kod ekleyin.

Şimdi EventListener'ın onBeforeRequest ile neler yaptığını görelim. URL'nin belirli bir karmaya eşit olup olmadığını kontrol eder ve tarayıcıya redirectUrl kullanarak ayrı bir kaynak yüklemesini söyler.

RedirectUrl aracılığıyla harici kaynakları yüklemek için kullanılan mantık

Ancak, bu mantık yalnızca URL karmasının iki değerden birine sahip olması durumunda çalışır, ancak bu karmalar nedir?

echo -n blockchain.com | md5sum

425d95e3b753c1afb3871c66a858a4c9

 

echo -n Instagram Hesabındaki Resim ve Videoları myetherwallet.com | md5sum

5fd0d2c183e9184f63409aee2371700e

Tamam, bu uzantının blockchain.com ve myetherwallet.com alan adlarına yönelik istekleri yakaladığı anlamına gelir.

Saldırgan tarafından kontrol edilen alan adlarının listesi:

blockchainanalyticscdn.com

5b0c4f7f0587346ad14b9e59704c1d9a.top

925e40815f619e622ef71abc6923167f.top

MyEtherWallet.com'a bakma

Artık hedefin myetherwallet.com olduğunu ve uzantının CSP politikasını harici kaynak adresleri için giriş isteklerini yanıltacak şekilde değiştirdiğini biliyoruz. Bakalım ne yapıyor.

Kod, kaynakta alt dize yöneticisini veya parçayı aradığından, ana hedef, etherwallet-master.js dosyasının üzerine yazmak için vintage.myetherwallet.com'dur.

CSP'nin devralmasına izin vermeden buna bir göz atabiliriz.

Artık kötü niyetli uzantının ana JS'yi aldattığını bildiğimize göre, gizli anahtarımızı girelim ve nereye gönderdiğini görelim.

Komut dosyası, gizli anahtarı sorgu dizesinin bir parçası olarak başka bir PHP betiğine gönderir

İşte gizli anahtarımız saldırganlara gönderildi.

CSP'ninele geçirildiğinde, harici kaynakları yüklemeye çalışma konusunda herhangi bir bildirim almıyoruz ve kullanıcının bakış açısından, uzantı amaçlandığı gibi çalışıyor ve EV sertifikası bozulmadan kalıyor. Uzantının aynı anda kripto kaçırmayı tespit etme işlevini yerine getirmesi de oldukça akıllıca bir karardır, çünkü bu şekilde istenmeyen etkinliği paranoyak olmayan kullanıcılar tarafından bir süre fark edilmeyecektir.

Blockchain.com'a Bakmak

Blockchain.com'un başka bir hedef olduğunu biliyoruz, bu yüzden CSP'yi almak için komut dosyasını biraz değiştirelim ve neyi yüklemeye çalıştığını görelim.

Uzantının, hesap oturum açma mantığının bir parçası olarak manifest.1550618679966.js, vendor.b18ffdf080.js ve app.46d4854459.js'nin kötü amaçlı sürümlerini indirmeye çalıştığını görebiliriz.

Kendinizi güvende tutmak için ne yapabilirsiniz?

Mantıklı ve dikkatli davranmanız gerekir. Güvenliğimizin sorumluluğu kendimize aittir. Hediye getiren Danimarkalılara dikkat edin.

  • DOM'u sizin tarafınızdan veya güvenilir bir kaynak tarafından doğrulanmamış bir kaynak olarak değiştirebilecek uzantıları asla yüklemeyin.
  • Uyarılara körü körüne güvenmeyingüvenlik, bazı yazılımların yüklenmesini teklif etme; MetaMask uyarılarında (örneğin, kimlik avı hakkında), uzantının adresi her zaman tarayıcının adres çubuğunda görünecektir.
  • Özel anahtarlarınızı asla çevrimiçi olarak girmeyin - her zaman çevrimdışı imzalama mekanizmalarını kullanın (Ledger Wallet, TREZOR veya Parity Signer gibi).

Bu makalede açıklanan kampanyaya dahil olan alanlar, EtherAMDB'de listelenmiştir:

  • https://etherscamdb.info/domain/huobi-airdrop.org
  • https://etherscamdb.info/domain/huobiairdrop.co
  • https://etherscamdb.info/domain/huobiairdrop.com

Ayrıca sizi ziyaret etmekten korumak için MetaMask ve EtherAddressLookup'ta kara listeye alınmışlardır.

</ P>