О мошеннических схемах, нацеленных на пользователей Huobi

О мошеннических схемах, нацеленных на пользователей Huobi, MyEtherWallet и Blockchain.info

Vargos

13.08.2019

О мошеннических схемах, нацеленных на пользователей Huobi, MyEtherWallet и Blockchain.info

Вредоносные расширения или страницы, связанные с Huobi, хоть встречаются и не очень часто, однако опасны не меньше любых других мошеннических схем. Недавно я обнаружил сайт с эйрдропом для Huobi, на котором использовался отличный от ставшего уже привычным мне фишингового набора компонентов для MyEtherWallet. Сайт проверял по вводимому публичному адресу, есть ли на этом адресе токены Huobi Airdrop (которые на самом деле являются поддельными токенами, ассоциированными с другим мошенничеством). Если ввести адрес, на котором нет нужных токенов, сервер всё равно вернёт ответ с фишинговыми компонентами.

Когда вы вводите свой публичный адрес, сервер злоумышленников возвращает новый HTML-документ, фишинговый сайт HuobiGlobal с подложным MyEtherWallet. Этот HTML-документ содержит ссылку на PHP скрипт, который привлёк моё внимание.

О мошеннических схемах, угрожающих пользователям Huobi, MyEtherWallet и Blockchain.info
Скрипт redir.php – это вредоносный набор компонентов для MyEtherWallet, предназначенный для кражи ваших ключей.

Этот скрипт сохраняет ваш секретный ключ в cookie-файле и запускает другой PHP-скрипт.

О мошеннических схемах, нацеленных на пользователей Huobi, MyEtherWallet и Blockchain.info
Сетевой запрос, сохраняющий секретный ключ в cookie-файле и отправляющий его в postback.php

Если вы введёте свой секретный ключ, он станет доступен злоумышленникам, и вы потеряете свои средства.

*   *   *

Поскольку я не встречал большого количества фишинговых/мошеннических доменов Huobi, я решил поискать ещё. Я наткнулся на ERC20-токен, рекламирующий вебсайт эйрдропа, в котором приняло участие ~ 20 000 Ethereum-адресов.

При достаточном капитале это используется как способ продвижения в блокчейн-сфере.

О мошеннических схемах, нацеленных на пользователей Huobi, MyEtherWallet и Blockchain.info
Токен, рекламирующий вебсайт

Если посмотреть на адрес, финансирующий транзакции (через 19 прокси-адресов, т.е.: 0x0b88a083dc7b8ac2a84eba02e4acb2e5f2d3063c) и создание контракта из адреса 0x15ccc4ab2cfdb27fc4818bf481f7ed0352d8c6b3, то можно увидеть, что злоумышленник:

  • создал 18 контрактов между блоками 6 708 041 и 7 249 374;
  • все контракты, кроме одного, рекламируют сайт huobiairdrop.com; исключение – просто тестовый контракт;
  • токен с рекламой huobiairdrop.com был отправлен на 62 132 адресов.

Вот дамп созданных 0x15cc…c6b3 адресов контрактов с рекламой huobiairdrop.com по состоянию на блок 7362119:

0x219b9040eb7d8d8c2e8e84b87ce9ac1c83071980

0xb331728743d45a6470b8798320f2c173d41e4bfb

0x6727816581215d1a7389bb1e9afc7ae7bf2fd5d1

0x596f83e44d6e62fc886222afea468e14f4c3fec7

0x36794518b3ef84c4b1a40af9540a03292f692c38

0x8fa86218ec14bb207b5ae404c60a836c3d7cbb3a

0x7f30f5955b7605b96421e7c170edbbc45b373cd9

0x53e00c6a2887f71bed5340ce369675ddaff4f42a

0x9c6625dc8333b633c40a0c2f2a49379363763ba0

0x6c3bb918a1242ba4e32908d7bf4addd7ef651e74

0x7d4bf678252c1c85aa46e032bf70e76439ee1708

0x697a260ba6365ab241f7aef057da3587f0c255ca

0x7db95f8d8d80a75d768a2f8b0be392ff901d3fc8

0x409de70d8ad0135e6fd91f343899b93d903c998b

0xbd806a9a7ad8ce9d36048861dd63a295a3c9d5f2

0x203daffa152dafaf2a859029f729b364fc8540f8

А вот дамп прокси-адресов, использовавшихся для эйрдропа токенов – все они финансировались с адреса 0x15cc…c6b3 и на всех прокси-адресах хранились аналогичные суммы (после финансирования в размере 5 ETH и отправки x транзакций), поэтому можно предположить, что они все имеют отношение к описываемому сценарию.

0xb179778356bebad15bd4b238f1384288cb477378

0x65d471996e4925e0acd113c6bb47cbf96fbc581f

0x2e5b15ea47129fdcc351360c896563ff0aa5b2fc

0x0e464ba1d597ac772b86fb5a93a82bb397e8c438

0x0b19448105c56dc68244e5715b5a78b5e06ccc9d

0x24e55688d74f902e478e638b8bf4339cd92adc8b

0x0ef221408918939419e03f48b126436fd72051ca

0x5ed89913028bb07d3c0b0cb68a78234027563ef8

0xe82ac313c98be7c7f921fee5ef52da868fdb79dd

0x348413142a330edc6e8f4fb932ab656a63a1a9b4

0x4fbf7701b3078b5bed6f3e64df3ae09650ee7de5

0x691da2826ac32bbf2a4b5d6f2a07ce07552a9a8e

0xa33b95ea28542ada32117b60e4f5b4cb7d1fc19b

0xe06ed65924db2e7b4c83e07079a424c8a36701e5

0x1b1b391d1026a4e3fb7f082ede068b25358a61f2

0xbbfd8041ebde22a7f3e19600b4bab4925cc97f7d

0xecd91d07b1b6b81d24f2a469de8e47e3fe3050fd

0x2ef1b70f195fd0432f9c36fb2ef7c99629b0398c

0x0b88a083dc7b8ac2a84eba02e4acb2e5f2d3063c

0xc2e90df58f0d93d677f0d8e7e5afe3b1584bb5ab

Глядя на huobiairdrop.com

Резюме (если много букв): Сайт предлагает установить расширение для браузера, которое, захватывая заголовки CSP и сетевые запросы, добавляет вредоносные скрипты к страницам MyEtherWallet.com и Blockchain.com.

Итак, я загрузил виртуальную машину, перешёл к домену и увидел похожее на настоящее предупреждение Google, которое, впрочем, меня несколько смутило – я не знал, что Google обнаруживает подобный криптоджекинг…

О мошеннических схемах, нацеленных на пользователей Huobi, MyEtherWallet и Blockchain.info
Поддельное предупреждение о криптоджекинге

Я попробовал включить MetaMask, и уведомление изменило вид на поддельное предупреждение MetaMask, притом что я знаю, что MetaMask не предупреждает о криптоджекинге.

О мошеннических схемах, нацеленных на пользователей Huobi, MyEtherWallet и Blockchain.info
Поддельное предупреждение MetaMask

Так или иначе, я решил посмотреть источник, и увидел, что он связан с расширением для Google Chrome; ID расширения: coigcglbjbcoklkkfnombicaacmkphcm (NoCoin — Block Coin Miners)

О мошеннических схемах, нацеленных на пользователей Huobi, MyEtherWallet и Blockchain.info
По состоянию на начало марта, когда я проводил свой эксперимент, у этого вредоносного расширения было 230 пользователей

Я подумал, что ссылки на это расширение со страниц предупреждения Google и MetaMask выглядят очень странно, и решил исследовать этот вопрос подробнее.

Глядя на “NoCoin – Block Coin Miners”

Я запустил новую виртуальную машину (поскольку не знал, что расширение будет делать, к тому же я перешёл из недоверенного/подозрительного источника).

Поначалу казалось, что расширение делает ровно то, что заявлено – обнаруживает различные криптоджекинговые скрипты (CoinHive, MinerAlt, WebminerPool) и отчитывается о результатах через внятный пользовательский интерфейс.

О мошеннических схемах, нацеленных на пользователей Huobi, MyEtherWallet и Blockchain.info
Судя по UI, расширение исправно делает свою работу

Я полагал, что активность расширения вряд ли этим ограничивается, учитывая, насколько подозрительным путём я на него вышел.

Заглянув в исходный код, я заметил две вещи:

  • расширение отслеживает и захватывает все веб-запросы, прикрепляя EventListener к onBeforeRequest и onHeadersReceived;
  • в зависимости от сетевой активности, оно строило домен на .top (домен верхнего уровня, известный большим количеством спама, по данным Spamhaus).

Это подтверждало моё впечатление о том, что функция кода расширения выходит за рамки обнаружения криптоджекинга, и я решил попробовать поэкспериментировать с этим кодом.

Во-первых, я хотел узнать, что EventListener делал для onHeadersReceived, потому что он перезаписывал значение Content-Security-Policy.

О мошеннических схемах, нацеленных на пользователей Huobi, MyEtherWallet и Blockchain.info
Логика, использованная для изменения CSP для определённых запросов

Я решил модифицировать код таким образом, чтобы он воспроизводил эту логику при каждом запросе.

Оказалось, что расширение перезаписывает CSP, чтобы получить возможность «безопасно» вставлять код из непроверенных источников.

Теперь давайте посмотрим, что EventListener делает с onBeforeRequest. Он проверяет, равен ли URL определённому хешу, а потом указывает браузеру загрузить отдельный ресурс, используя redirectUrl.

О мошеннических схемах, нацеленных на пользователей Huobi, MyEtherWallet и Blockchain.info
Логика, используемая для загрузки внешних ресурсов через redirectUrl

Однако эта логика выполняется, только если хеш URL имеет одно из двух значений, но что это за хеши?

echo -n blockchain.com | md5sum

425d95e3b753c1afb3871c66a858a4c9

echo -n myetherwallet.com | md5sum

5fd0d2c183e9184f63409aee2371700e

Ok, значит расширение захватывает запросы к доменам blockchain.com и myetherwallet.com.

Вот список доменов, контролируемых злоумышленником:

blockchainanalyticscdn.com

5b0c4f7f0587346ad14b9e59704c1d9a.top

925e40815f619e622ef71abc6923167f.top

Глядя на MyEtherWallet.com

Итак, теперь мы знаем, что мишенью является myetherwallet.com и что расширение изменяет политику CSP, чтобы подменять вводимые запросы на адреса внешних ресурсов. Давайте посмотрим, что оно делает.

Поскольку код ищет в ресурсе подстроку master или chunk, основной мишенью является домен vintage.myetherwallet.com для перезаписи файла etherwallet-master.js.

Мы можем взглянуть на это, не допуская захвата CSP.

Итак, теперь, когда мы знаем, что вредоносное расширение подменяет основной JS, давайте введём наш секретный ключ и посмотрим, куда оно его отправит.

О мошеннических схемах, нацеленных на пользователей Huobi, MyEtherWallet и Blockchain.info
Скрипт отправляет секретный ключ другому PHP-скрипту как часть строки запроса

Вот оно, наш секретный ключ был отправлен злоумышленникам.

Обратите внимание, что, поскольку CSP был захвачен, мы не получаем никаких уведомлений о попытке загрузки внешних ресурсов, и с точки зрения пользователя расширение работает так, как предполагалось, а сертификат EV остаётся нетронутым. То, что расширение при этом исполняет свою заявленную функцию обнаружения криптоджекинга, тоже довольно умное решение, поскольку так его нежелательная активность какое-то время будет оставаться незамеченной непараноидальными пользователями.

Глядя на Blockchain.com

Нам известно, что ещё одной мишенью является blockchain.com, поэтому давайте немного модифицируем сценарий, чтобы захватить CSP и посмотреть, что он попытается загрузить.

Мы видим, что расширение пытается загрузить вредоносные версии manifest.1550618679966.js, vendor.b18ffdf080.js и app.46d4854459.js в рамках логики входа в аккаунт.

Что можно сделать, чтобы обезопасить себя?

Нужно вести себя осмысленно и осторожно. Ответственность за нашу безопасность лежит на нас самих. Бойтесь данайцев, дары приносящих.

  • Никогда не устанавливайте расширения, которые могут изменять DOM на непроверенный вами или доверенным источником.
  • Не следует слепо доверять предупреждениям о безопасности, предлагающим установить некое программное обеспечение; в предупреждениях MetaMask (например, о фишинге) в адресной строке браузера всегда будет значиться адрес расширения.
  • Никогда не вводите свои секретные ключи онлайн – всегда используйте офлайн-механизмы подписи (например, Ledger Wallet, TREZOR или Parity Signer).

Домены, причастные к описанной в этой статье кампании, перечислены на EtherScamDB:

Они также были включены в чёрный список на MetaMask и EtherAddressLookup, чтобы обезопасить вас от их посещения.

Подписывайтесь на BitNovosti в Telegram!
Делитесь вашим мнением об этой статье в комментариях ниже.

Источник

Основные виды деятельности: Работа на финансовых рынках Консультирование и сопровождение в работе на финансовых рынках Юридические услуги, связанные с регистрацией, перерегистрацией, ликвидацией российских юридических лиц Консультирование в сфере кредитования и защиты прав заёмщика Информационные услуги связанные с ведением бизнеса