Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,7 тыс подписчиков

Троянские расширения браузера крадут данные через блокчейн

4 мин
Исследование выявило significant cyber threat, исходящую от пяти trojan browser extensions, включая популярные инструменты для управления wallets и паролями. Вместо привычных жестко заданных адресов C2 злоумышленники применили более сложную схему: адрес сервера управления динамически извлекается из Aptos blockchain, а затем используется для передачи похищенных данных. Такая архитектура усложняет обнаружение и блокировку атаки. По сути, расширения используют блокчейн как промежуточный уровень для связи с инфраструктурой управления, что делает серверы C2 взаимозаменяемыми и позволяет сохранять операционную непрерывность даже при смене инфраструктуры. При установке расширения выполняют последовательность действий, направленных на идентификацию пользователя и ретрансляцию данных. Ключевую роль играет API Chrome chrome.identity.getProfileUserInfo(), который позволяет извлекать идентификаторы профиля Google и адреса электронной почты. Далее эти сведения передаются на C2 через payload, получе
Оглавление

Исследование выявило significant cyber threat, исходящую от пяти trojan browser extensions, включая популярные инструменты для управления wallets и паролями. Вместо привычных жестко заданных адресов C2 злоумышленники применили более сложную схему: адрес сервера управления динамически извлекается из Aptos blockchain, а затем используется для передачи похищенных данных.

Такая архитектура усложняет обнаружение и блокировку атаки. По сути, расширения используют блокчейн как промежуточный уровень для связи с инфраструктурой управления, что делает серверы C2 взаимозаменяемыми и позволяет сохранять операционную непрерывность даже при смене инфраструктуры.

Как работает схема

При установке расширения выполняют последовательность действий, направленных на идентификацию пользователя и ретрансляцию данных. Ключевую роль играет API Chrome chrome.identity.getProfileUserInfo(), который позволяет извлекать идентификаторы профиля Google и адреса электронной почты.

Далее эти сведения передаются на C2 через payload, полученный из Aptos blockchain. Такой подход представляет собой переход от традиционных жестко закодированных адресов управления к dynamic dead-drop mechanism через blockchain.

  • Расширение получает данные профиля через chrome.identity.getProfileUserInfo();
  • Динамически определяет адрес C2 из Aptos blockchain;
  • Передает собранную информацию на сервер управления;
  • Использует данные первой сессии в последующих коммуникациях, связанных с операциями с кошельками.

Почему это опасно

Особая опасность этой кампании заключается в том, что взаимодействие происходит без видимых для пользователя индикаторов. Это делает традиционные методы обнаружения малоэффективными. Пользователь видит обычное расширение, которому доверяет, а на деле оно может собирать чувствительные данные и связывать их с его цифровой идентичностью.

Авторы атаки нацелены не только на обычных пользователей, но и на специализированную crypto infrastructure в нескольких blockchain networks. Тем самым они расширяют охват операции и повышают вероятность доступа к активам и учетным данным.

Встроенное доверие, которое пользователи оказывают известным расширениям, становится одним из ключевых факторов успеха трояна.

Что именно крадут злоумышленники

Собранные данные профиля представляют для атакующих ценность, выходящую далеко за рамки кражи кошелька. Они позволяют получить представление об общей цифровой идентичности жертвы и ее поведении в сети.

Таким образом, операция затрагивает не только wallet access, но и более широкую картину пользовательской активности, включая:

  • Google profile identifiers;
  • email addresses;
  • данные, связанные с использованием wallets;
  • сведения, позволяющие сопоставлять личность пользователя с его активами.

Признаки, на которые стоит обратить внимание

С точки зрения защиты ключевым становится выявление аномалий в расширениях браузера. Отдельного внимания требует наличие в манифесте структуры commands.__meta. Она не относится к стандартному Chrome API и должна немедленно вызывать проверку.

Кроме того, специалистам по безопасности следует мониторить расширения, которые:

  • вызывают API получения профиля;
  • выполняют неожиданные исходящие запросы к blockchain services;
  • используют нестандартные механизмы загрузки конфигурации;
  • демонстрируют признаки скрытой передачи данных на C2.

Историческая устойчивость через blockchain

Один из наиболее примечательных аспектов кампании — использование неизменяемости blockchain в интересах злоумышленников. Поскольку прошлые транзакции остаются записанными, исследователи получают исторические точки, которые могут помочь в идентификации прежних адресов C2, даже если текущая инфраструктура уже заменена.

Это подчеркивает операционную устойчивость атаки: операторы могут менять серверы без внесения изменений в сами расширения, а значит — сохранять работоспособность схемы длительное время.

Вывод

Инцидент демонстрирует, насколько изощренными становятся методы злоумышленников при эксплуатации доверенных сред. Браузерные расширения, особенно связанные с wallets и паролями, превращаются в удобный канал для скрытого сбора данных и построения устойчивой инфраструктуры управления.

Для защиты необходимы более строгие протоколы контроля расширений, постоянный аудит их манифестов и мониторинг сетевой активности, особенно если в ней задействованы неожиданные blockchain-сервисы и вызовы API, связанные с профилем пользователя.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Троянские расширения браузера крадут данные через блокчейн".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: MAX | VK | Rutube | Telegram | Дзен | YouTube.

Кибербезопасность
25,6 тыс интересуются