Pesquisadores em cibersegurança identificaram uma extensão maliciosa na Chrome Web Store que insere, de forma oculta, uma transferência na rede Solana durante transações de swap, desviando fundos para uma carteira controlada pelos atacantes.
Batizada de Crypto Copilot, a extensão foi publicada pelo usuário "sjclark76" em 7 de maio de 2024.
Seu desenvolvedor a apresenta como uma ferramenta para “realizar trades de criptomoedas diretamente no X com insights em tempo real e execução fluida”.
Até o momento, o add-on acumula 12 instalações e continua disponível para download.
Segundo Kush Pandya, pesquisador da Socket Security, a extensão “injeta uma transferência extra em cada swap na Solana, desviando no mínimo 0,0013 SOL, ou 0,05% do valor negociado, para uma carteira pré-configurada dos atacantes”.
Essa ação ocorre por meio de código ofuscado que entra em funcionamento quando o usuário realiza um swap na Raydium, exchange descentralizada (DEX) e market maker automatizado (AMM) da Solana.
O método consiste em anexar secretamente uma chamada ao SystemProgram.transfer antes que o usuário autorize a transação com sua assinatura.
Essa transferência oculta é enviada para uma carteira fixa, registrada no código-fonte.
A taxa aplicada varia conforme o volume da operação: o mínimo é 0,0013 SOL, e para swaps acima de 2,6 SOL, a cobrança corresponde a 2,6 SOL mais 0,05% do valor total.
Para evitar detecção, a extensão utiliza técnicas como minificação e renomeação de variáveis para mascarar o comportamento malicioso.
Além disso, o Crypto Copilot se comunica com um backend hospedado no domínio “crypto-coplilot-dashboard.vercel[.]app”, usado para registrar carteiras conectadas, buscar informações de pontos e indicações, e reportar atividades dos usuários.
Vale destacar que esse domínio, assim como “cryptocopilot[.]app”, não hospedam produtos legítimos.
O aspecto preocupante desse ataque é que os usuários não são informados da taxa oculta na plataforma, pois a interface exibe apenas os detalhes normais do swap.
Para aumentar a confiança, a extensão também utiliza serviços legítimos, como DexScreener e Helius RPC.
Pandya alerta: “Como essa transferência é adicionada silenciosamente e enviada para uma carteira pessoal, em vez de um tesouro do protocolo, a maioria dos usuários jamais perceberá a fraude, a menos que revise cada instrução antes de assinar”.
Segundo ele, toda a infraestrutura parece ter sido criada apenas para passar pela análise da Chrome Web Store e conferir uma aparência de legitimidade, enquanto as taxas são desviadas em segundo plano.
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...