Một mối đe dọa mạng mới đã xuất hiện trong cộng đồng giao dịch Solana. Các nhà nghiên cứu bảo mật đã phát hiện một tiện ích mở rộng Chrome độc hại có tên Crypto Copilot. Tiện ích này cung cấp các tính năng giao dịch tiện lợi giả mạo, nhưng thực chất lại bí mật rút tiền điện tử từ người dùng trong quá trình giao dịch.

Được phát hành trên Chrome Web Store vào ngày 18 tháng 6 năm 2024, tiện ích mở rộng này đã tồn tại và âm thầm đánh cắp tiền từ hàng trăm nhà giao dịch. Những nạn nhân này tin rằng họ đang sử dụng một công cụ hợp pháp.

Tiện ích mở rộng Chrome độc hại “Crypto Copilot”

Mô tả Chức năng Bề ngoài

Crypto Copilot được định vị như một giải pháp liền mạch cho các nhà giao dịch Solana. Nó hứa hẹn khả năng thực hiện các giao dịch hoán đổi nhanh chóng trực tiếp từ nền tảng mạng xã hội X.

Tiện ích này kết nối với các ví phổ biến như Phantom và Solflare, hiển thị dữ liệu token theo thời gian thực từ DexScreener. Đồng thời, nó định tuyến các giao dịch thông qua Raydium, một trong những sàn giao dịch phi tập trung lớn nhất trên Solana.

Tài liệu tiếp thị của tiện ích quảng bá tốc độ, sự tiện lợi và giao dịch chỉ bằng một cú nhấp chuột. Tuy nhiên, chúng hoàn toàn không đề cập đến bất kỳ chi phí ẩn hay giao dịch phụ nào.

Thời gian Phát hành và Phạm vi Ảnh hưởng

Kể từ ngày 18 tháng 6 năm 2024, tiện ích mở rộng Chrome độc hại này đã được phát hành và duy trì hoạt động trên Chrome Web Store. Điều này cho phép nó tiếp tục gây thiệt hại tài chính cho người dùng mà không bị phát hiện kịp thời.

Cơ chế Đánh cắp Tiền điện tử Tinh vi

Phát hiện từ Socket.dev

Các nhà phân tích bảo mật của Socket.dev đã xác định được hành vi độc hại được nhúng sâu trong cấu trúc mã của tiện ích mở rộng. Đằng sau giao diện hấp dẫn là một cơ chế đánh cắp phí tinh vi hoạt động mà người dùng không hề hay biết.

Bạn có thể tìm hiểu thêm chi tiết kỹ thuật về phát hiện này tại Socket.dev blog.

Chi tiết Kỹ thuật về việc Chèn Giao dịch

Mỗi khi người dùng thực hiện một giao dịch hoán đổi, tiện ích mở rộng Chrome độc hại này sẽ chèn một lệnh chuyển tiền không được công bố. Lệnh này chuyển tối thiểu 0.0013 SOL hoặc 0.05% tổng số tiền giao dịch đến một địa chỉ ví do kẻ tấn công kiểm soát.

Địa chỉ Ví của Kẻ tấn công

Địa chỉ ví nhận tiền từ các giao dịch độc hại là:

Bjeida13AjgPaUEU9xrh1iQMwxZC7QDdvSfg730xQff7

Thao túng cấp độ Blockchain

Cuộc tấn công hoạt động bằng cách thao túng việc xây dựng giao dịch ở cấp độ blockchain. Khi người dùng khởi tạo một giao dịch hoán đổi, tiện ích mở rộng sẽ xây dựng lệnh hoán đổi Raydium hợp lệ trước tiên.

Sau đó, nó âm thầm thêm một lệnh thứ hai chứa lệnh SystemProgram.transfer. Lệnh này di chuyển SOL từ ví của người dùng trực tiếp đến địa chỉ của kẻ tấn công.

Màn hình Xác nhận Ví Đánh lừa Người dùng

Giao diện người dùng chỉ hiển thị chi tiết của giao dịch hoán đổi chính, tạo ra cảm giác hợp pháp sai lầm. Hầu hết các màn hình xác nhận ví chỉ hiển thị tóm tắt các giao dịch mà không làm nổi bật các lệnh riêng lẻ.

Do đó, người dùng ký vào một giao dịch dường như là duy nhất, trong khi cả hai lệnh (hoán đổi hợp pháp và chuyển tiền độc hại) đều được thực thi cùng lúc trên chuỗi.

Các Chức năng Độc hại Bổ sung của tiện ích mở rộng Chrome độc hại

Rò rỉ Khóa Công khai Ví

Các nhà nghiên cứu của Socket cũng phát hiện thêm các chức năng độc hại khác ngoài việc đánh cắp phí. Tiện ích mở rộng Chrome độc hại này còn exfiltrate các khóa công khai ví đã kết nối của người dùng đến một máy chủ backend. Hành vi này gây ra các rủi ro bảo mật nghiêm trọng về quyền riêng tư.

Địa chỉ máy chủ backend là:

crypto[.]copilot-dashboard[.]vercel[.]app/api/users

Lộ Thông tin Xác thực API

Hơn nữa, thông tin xác thực Helius RPC API được nhúng trong tiện ích cũng bị lộ. Điều này phơi bày thông tin cơ sở hạ tầng nhạy cảm, làm tăng thêm các rủi ro bảo mật và khả năng bị tấn công tiếp theo.

Kỹ thuật Ẩn giấu Mã độc

Mã nguồn bị làm rối (Obfuscation)

Mã độc nằm trong tệp assets/popup.js, được bao bọc bởi kỹ thuật làm rối (obfuscation) mã nguồn dày đặc. Mục đích của việc này là để né tránh sự phát hiện từ các công cụ phân tích và hệ thống an ninh mạng.

Tình trạng trên Chrome Web Store

Mặc dù những phát hiện này đã được công bố, danh sách của tiện ích trên Chrome Web Store vẫn không thay đổi. Không có cảnh báo nào dành cho người dùng tiềm năng về các khoản phí ẩn hoặc việc thu thập dữ liệu đang diễn ra trong nền. Điều này cho thấy tầm quan trọng của việc cảnh giác cao độ khi cài đặt các tiện ích mở rộng Chrome độc hại.

Chỉ số Thỏa hiệp (IOCs)

Để hỗ trợ các nỗ lực phát hiện và ngăn chặn tấn công mạng, dưới đây là các chỉ số thỏa hiệp liên quan đến tiện ích mở rộng Chrome độc hại Crypto Copilot:

• Địa chỉ ví kẻ tấn công:Bjeida13AjgPaUEU9xrh1iQMwxZC7QDdvSfg730xQff7
• URL máy chủ Backend:crypto[.]copilot-dashboard[.]vercel[.]app/api/users

Người dùng và quản trị viên hệ thống được khuyến nghị kiểm tra các hệ thống của mình để phát hiện sự hiện diện của các chỉ số này và thực hiện các biện pháp phòng ngừa cần thiết nhằm tăng cường an ninh mạng.