Chrome-extensie kon inloggegevens en privésleutels cryptovalutawallets stelen

Google heeft een Chrome-extensie die zich voordeed als cryptovalutawallet, verwijderd uit de browser. De applicatie wist wachtwoorden en privésleutels van andere online cryptowallets te stelen. Het ging met name om Ethereum.

De applicatie heette Shitcoin Wallet en is inmiddels uit Chrome verwijderd. Wel is de website nog steeds in de lucht. De extensie was sinds begin december te downloaden. De extensie was daar 625 keer gedownload. Shitcoin Wallet was een cryptovalutawallet waarmee gebruikers hun Ethereum en Ethereum ERC20-tokens konden beheren. Een beveiligingsonderzoeker van MyCrypto ontdekte dat de extensie in werkelijkheid ook code bevatte die munten probeerde te stelen van andere cryptovalutaplatforms.

De extensie deed dat door geïnfecteerde JavaScript-code te injecteren in de browser als de gebruiker naar een bepaalde website surfte. Het gaat daarbij om 77 websites, vooral nieuwswebsites uit Amerika, Australië en Nieuw-Zeeland. Die code werd alleen ingezet als gebruikers naar een van vijf grote cryptovalutawebsites ging, zoals Binance of NeoTracker. Als een gebruiker daar inlogde, stal de extensie logingegevens, maar ook privésleutels van cryptowallets die gebruikers op die websites hadden staan. De gegevens werden vervolgens doorgestuurd naar een command-and-control-server.

Er was ook een desktopapplicatie van Shitcoin Wallet beschikbaar. De beveiligingsonderzoekers hebben in de 32bit- noch de 64bit-versie gelijksoortige code gevonden. Volgens ZDnet klagen verschillende gebruikers van de applicatie op sociale media wel dat er vreemde code in de app lijkt te draaien.

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 02-01-2020 11:03 22

02-01-2020 • 11:03

22

Lees meer

Spyware-campagne gebruikte 70 malafide Chrome-extensies met 32 miljoen downloads
Spyware-campagne gebruikte 70 malafide Chrome-extensies met 32 miljoen downloads Nieuws van 18 juni 2020
Google haalt dubieuze adblockers met 1,6 miljoen gebruikers uit Chrome-store
Google haalt dubieuze adblockers met 1,6 miljoen gebruikers uit Chrome-store Nieuws van 20 september 2019
Google brengt Chrome-extensie uit om verdachte url's eenvoudig te rapporteren
Google brengt Chrome-extensie uit om verdachte url's eenvoudig te rapporteren Nieuws van 19 juni 2019
Evernote Web Clipper voor Chrome was te misbruiken met cross-site scripting
Evernote Web Clipper voor Chrome was te misbruiken met cross-site scripting Nieuws van 13 juni 2019
Microsoft test Chrome-extensie die verdachte sites in Edge-sandbox opent
Microsoft test Chrome-extensie die verdachte sites in Edge-sandbox opent Nieuws van 18 maart 2019
Google waarschuwt met Chrome-extensie voor uitgelekte wachtwoorden
Google waarschuwt met Chrome-extensie voor uitgelekte wachtwoorden Nieuws van 5 februari 2019
Meer producten en artikelen
Beveiliging en antivirus Google Chrome cryptocurrency Extensie

Reacties (22)

-Moderatie-faq
22
20
15
3
0
2
Wijzig sortering
Mrten 2 januari 2020 11:40
Het is sowieso verstandig om af en toe je Chrome extensies te controleren, en alles wat je niet meer gebruikt te verwijderen.

Verder kan je voor tips m.b.t. veilig bewaren van crypto valuta hier terecht: https://support.mycrypto....g-yourself-and-your-funds

Een simpele manier om dit soort phishing aanvallen te voorkomen is door zelf gebruik te maken van een desktop applicatie (zoals die van MyCrypto).

(Disclaimer: ik werk bij MyCrypto)
Gillepils @Mrten2 januari 2020 12:19
Of gebruik maken van een cloud wallet zoals arkane.network.
Mrten @Gillepils2 januari 2020 12:22
Ik ben niet bekend met Arkane, maar in het algemeen geldt: niet jouw private keys, niet jouw cryptovaluta. Het lijkt erop dat Arkane jouw private keys opslaat op hun servers, en in het geval dat hun servers worden gehackt ben je al je munten kwijt.
badflower @Mrten2 januari 2020 13:40
Niet perse, je kan een private key opslaan encrypted met je wachtwoord, en deze dan client-side decrypten. Aangezien de server alleen je ww hash weet, kan de server je private key niet zien.

Voorwaarde is wel dat bij login het ww al client-side gehashed wordt, en dus het ww nooit naar de server gestuurd wordt om daar pas te hashen. Dus je moet dan wel opletten als gebruiker dat dat nooit gebeurd.
En dan rest de vraag of client-side javascript hashing secure is, daar verschillen de meningen over.
Gillepils @Mrten3 januari 2020 13:22
Ik ken het mantra van de decentralised knights ;) Het probleem is dat de meeste dApps waardeloos zijn door een gebrek aan usability en afhankelijk zijn van browser plugins en dergelijke of dApp browsers op mobile. De browser plugin die je nodig hebt, hangt dan ook nog eens af van de blockchain die de dApp gebruikt... Begin maar eens all die plugins te installeren.

Daarnaast heeft de geschiedenis al aangetoond dat mensen behoorlijk slecht zijn in het veilig bewaren van hun private key. 4-6 miljoen bitcoin zou hier al door verloren gegaan zijn. Bij Arkane encrypteren we een deel van de keystore met een PIN die de gebruiker kiest en we krijgen heel wat support request binnen van mensen die hun PIN verloren zijn. Als ze nog geen PIN kunnen bewaren/onthouden, hoe kan je dan verwachten dat de gemiddelde mens een private key veilig kan bewaren?

Om massa adoptie mogelijk te maken is er dus nood aan gebruiksvriendelijkheid en ondersteuning voor mensen die hun eigen private keys niet zelf kunnen bewaren. Hiervoor bieden we met Arkane een oplossing. Eén wallet voor meerdere chains, die platform en device onafhankelijk is en eenvoudig in elke app kan geïntegreerd worden.

0xUniverse is een blockchain based game en spelers die dat in de Apple of Google app store downloaden, krijgen meteen een cloud wallet waar hun NFTs op bewaard worden. Zo moeten ze zelfs niets van blockchain kennen.

Bij de bank hebben de meeste mensen ook een zichtrekening en een spaarrekening (in Nederland heet dit misschien anders?) waarbij je op je zichtrekening een beperkte hoeveelheid geld staan hebt, maar dat je heel gemakkelijk met je bankkaart kan uitgeven. Op je spaarrekening staat je spaargeld, dat minder goed beschikbaar is. In crypto zou je deze analogie kunnen maken door een cloud wallet te hebben die gemakkelijk integreert met dApps en waar je NFTs op beschikbaar zijn en een hardware wallet (nGrave komt binnenkort met een mooie hardware wallet uit) die dienst doet om je meeste crypto op te bewaren, die je dan als belegging houdt.

Meer informatie over de Arkane security setup

En als je ons kan hacken, krijg je een mooie bounty via dit programma ;)
al__in__gebruik @Mrten2 januari 2020 13:23
Jaja, dat is precies ook wat die gasten van Shitcoin Wallet zeggen ;)
yvo_duh 2 januari 2020 11:27
Met een blackfriday deal toch maar een hardware wallet aangeschaft.
Het is hier en daar een beetje prutsen met hoe het nu precies werkt maar tot nu toe zeer tevreden.
De kans dat iemand in mijn broekzak zit voor mijn sleutel is kleiner dan de kans dat iemand het online van je steelt.

Edit: ik gebruik nu een keepkey.

[Reactie gewijzigd door yvo_duh op 22 juli 2024 21:05]

Jim80 @yvo_duh2 januari 2020 11:49
Een hardware wallet kan toch ook gestolen / kapot- of verloren gaan?

Een gratis alternatief is je private keys in een zip file bewaren met een sterk wachtwoord, en zorgen dat deze zip file op een paar plaatsen gebackupt is.

Of als je veel transaties doet en iets gebruiktvriendelijker maar niet volledig off-line, een electrum wallet maken en met wachtwoord beveiligen, en ook deze file goed backuppen.

Met goed backuppen bedoel ik dan minstens 3 kopies (lokaal, cloud en usb stick ergens weg van huis)
YoMarK @Jim802 januari 2020 11:53
Een zip file met een sterk wachtwoord is nu niet direct een aanrader. Dat is alleen veilig als je dat b.v. met 7-zip doet met (heel bewust)degelijke encryptie. Gebruik dan gewoon iets als keepass.
Jim80 @YoMarK2 januari 2020 12:03
Inderdaad, had ik moeten vermelden.

Ik gebruik Total Commander en vind het bijna vanzelfsprekend dat AES256 encryptie gebruikt wordt bij het zippen, daar kan je dat gewoon aanvinken wanneer je je wachtwoord opgeeft :)

Verder ook grote fan van 7z, zowel qua compressieratio als security
Mrten @Jim802 januari 2020 12:00
De kans dat een fysiek apparaat gestolen wordt is wel een stuk kleiner dan de kans dat een stukje informatie op een computer gestolen wordt. Daarnaast zijn hardware wallets vaak beveiligd met een PIN code, en kan je een "recovery phrase" gebruiken (vaak 24 woorden) in het geval dat je het apparaat verliest.
Jim80 @Mrten2 januari 2020 12:09
Met een hardware wallet weet men ook meteen dat je coins hebt, en kan men je nog altijd onder druk zetten je PIN te geven.

Je 3x gebackupte, pw beveiligde, zip-file kan je overigens ook vakantiefotos.zip noemen.
Mrten @Jim802 januari 2020 12:12
Met sommige hardware wallets is het mogelijk om meerdere PIN codes te gebruiken, waardoor je verschillende adressen krijgt. Zo kan je bijvoorbeeld op een adres met PIN 1 een kleine hoeveelheid cryptovaluta zetten, en op PIN 2 de rest.

Daarnaast is het ook niet verstandig om op internet te adverteren dat je een bepaalde hoeveelheid cryptovaluta hebt.
Jim80 @Mrten2 januari 2020 12:23
Meerdere PIN's is inderdaad een goede truuk.

Ik zie overigens nergens waar ik gezegd zou hebben dat ik cyptomunten heb, want ik heb er ook geen...
I kan trouwens net hetzelfde van jou zeggen :)
Mrten @Jim802 januari 2020 12:24
Ik lees ook nergens dat jij zelf cryptomunten bezit, maar het was meer een algemene tip ;)
yvo_duh @Jim802 januari 2020 13:12
een hardware wallet hebben ze alleen wat aan als ze je pincode kunnen ontcijferen of ze je security sentence hebben, zover ik me heb laten inlezen.
Beta 2 januari 2020 11:08
Alleen de naam al doet me nekharen kriebelen.
Finger @Beta2 januari 2020 11:17
Nodigt niet echt uit tot downloaden inderdaad. Ik snap sowieso niet waarom je de gok zo nemen dit te gebruiken en niet een bekende partij. Is een beetje het zelfde als je wachtwoorden opslaan bij give me you password.com.

[Reactie gewijzigd door Finger op 22 juli 2024 21:05]

DrBackBeat @Finger2 januari 2020 11:38
givemeyourpassword . com klinkt bij mij dan weer een beetje als een ludieke 'hippe' naam voor een password manager. Shitcoin wallet is dan weer niet zo aantrekkelijk maar klinkt een beetje als een edgelord naam gekozen door een kleine dev.
Munchie 2 januari 2020 17:24
Nooit geweten dat je via Binance toegang kon krijgen tot de privésleutels van de wallets.
Laatste keer dat ik het gebruikte had alleen Binance zelf deze sleutels op hun server staan. Als je de coins zelf wou beheren moest je ze naar je eigen privé wallet sturen.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq