Η ερευνητική ομάδα του Socket’s Threat ανακάλυψε μια κακόβουλη επέκταση του Google Chrome με το όνομα “lmΤoken Chromophore” που κλέβει ενεργά τα διαπιστευτήρια πορτοφολιού κρυπτονομισμάτων.
Μεταμφιεσμένη σε ένα αβλαβές εξαγωνικό οπτικοποιητή χρωμάτων, η επέκταση υποδύεται στην πραγματικότητα τη δημοφιλή επωνυμία imToken πορτοφολιών που δεν έχει κηδεμονία.
Από την κυκλοφορία του το 2016, το imToken έχει εξυπηρετήσει περισσότερους από 20 εκατομμύρια πελάτες παγκοσμίως, καθιστώντας το έναν εξαιρετικά επικερδή στόχο για καμπάνιες ηλεκτρονικού ψαρέματος.
Η επίσημη ομάδα του imToken έχει προειδοποιήσει τους χρήστες ότι η πλατφόρμα τους είναι αυστηρά μια εφαρμογή για κινητά και ότι δεν έχουν κυκλοφορήσει ποτέ επέκταση Chrome.
Ωστόσο, αυτό το κακόβουλο πρόσθετο δελεάζει τα θύματα αντικατοπτρίζοντας την αξιόπιστη οπτική ταυτότητα της μάρκας. Ο πραγματικός στόχος του είναι να ξεγελάσει τα θύματα ώστε να παραδώσουν τις φράσεις 12 ή 24 λέξεων ή τα ιδιωτικά κλειδιά απλού κειμένου, κάτι που έχει ως αποτέλεσμα την άμεση κατάληψη του πορτοφολιού.
Δημοσιεύθηκε στις 2 Φεβρουαρίου 2026 από Η ομάδα έρευνας απειλών Socketη επέκταση κρύβει τον κίνδυνο πίσω από ψεύτικες κριτικές πέντε αστέρων και μια δόλια πολιτική απορρήτου που ισχυρίζεται ότι δεν συλλέγονται δεδομένα.
Ροή εργασιών phishing και τακτικές αποφυγής
Κατά την εγκατάσταση, η επέκταση αγνοεί εντελώς τη διαφημιζόμενη λειτουργία επιλογής χρωμάτων. Αντίθετα, λειτουργεί ως ελαφρύς ανακατευθυντής.
Ο κώδικας φόντου του ανακτά αυτόματα έναν ιστότοπο-στόχο από έναν σκληρό κώδικα απομακρυσμένο τελικό σημείο που φιλοξενείται στο JSONKeeper. Στη συνέχεια ανοίγει μια νέα καρτέλα του προγράμματος περιήγησης που κατευθύνεται στην υποδομή του εισβολέα.
Αυτή η ρύθμιση επιτρέπει στους παράγοντες απειλών να αλλάζουν εύκολα τον προορισμό phishing ανά πάσα στιγμή χωρίς να χρειάζεται να ενημερώσουν τον κωδικό επέκτασης στο Chrome Web Store.
,
token.im ιστοσελίδα ως δόλωμα αφού το μυστικό του πορτοφολιού έχει ήδη συλλεχθεί. (Πηγή: Socket)Η αρχική ανακατεύθυνση στέλνει τα θύματα σε έναν παραπλανητικό τομέα phishing με όνομα chroomewedbstorre-detail-extension[.]com. Για να παρακάμψουν αυτοματοποιημένους σαρωτές ασφαλείας και να εξαπατήσουν τους μη αυτόματους αναθεωρητές, οι εισβολείς χρησιμοποιούν ομογλυφικά Unicode μεικτού σεναρίου.
Αντικαθιστώντας τα τυπικά λατινικά γράμματα με οπτικά πανομοιότυπους κυριλλικούς και ελληνικούς χαρακτήρες τόσο στον τίτλο της σελίδας όσο και στη διαδρομή εισαγωγής, οι εισβολείς αποφεύγουν εύκολα τα απλά συστήματα ανίχνευσης αντιστοίχισης κειμένου.,
Μόλις μπουν στη σελίδα phishing, τα θύματα βλέπουν α δόλια διεπαφή εισαγωγής πορτοφολιού που υποστηρίζεται από εξωτερικά αρχεία JavaScript όπως sjcl-bip39.js και wordlist_english.js.
Ο ιστότοπος προτρέπει τους χρήστες να εισαγάγουν τη μυστική μνημονική φράση ή το ιδιωτικό τους κλειδί. Για να διατηρήσει την ψευδαίσθηση της νομιμότητας μετά τη συλλογή των ευαίσθητων δεδομένων, η ροή εργασίας ζητά από τους χρήστες να ορίσουν έναν τοπικό κωδικό πρόσβασης και εμφανίζει μια ψεύτικη οθόνη φόρτωσης «αναβάθμισης».
Τέλος, η ακολουθία επίθεσης ανακατευθύνει το θύμα στον υπάλληλο token.im ιστοσελίδα, ελαχιστοποιώντας τις υποψίες ενώ οι εισβολείς αποστραγγίζουν κρυφά τους παραβιασμένους λογαριασμούς.
Οι ομάδες ασφαλείας πρέπει να ελέγχουν εξονυχιστικά τις επεκτάσεις του προγράμματος περιήγησης με την ίδια αυστηρότητα που εφαρμόζεται στο παραδοσιακό λογισμικό τρίτων κατασκευαστών. Συνιστάται στους οργανισμούς να περιορίζουν τις εγκαταστάσεις επεκτάσεων σε ευαίσθητα προφίλ προγράμματος περιήγησης.
Οι χρήστες θα πρέπει πάντα να επαληθεύουν όλο το λογισμικό πορτοφολιού μέσω των επίσημων καναλιών διανομής προμηθευτών. Εάν κάποιος χρήστης έχει εισαγάγει μια αρχική φράση, ιδιωτικό κλειδί ή κωδικό πρόσβασης πορτοφολιού στο α ύποπτη σελίδα ηλεκτρονικού ψαρέματος, πρέπει να αντιμετωπίζουν το πορτοφόλι ως εντελώς παραβιασμένο και να εναλλάσσουν αμέσως τα χρήματά τους σε νέα, ασφαλή κλειδιά.
Τα εργαλεία ασφαλείας θα πρέπει να παρακολουθούν για επεκτάσεις των οποίων η κύρια συμπεριφορά είναι η ανάκτηση απομακρυσμένου περιεχομένου και το άνοιγμα εξωτερικών προορισμών.,
Οι αναλυτές ασφαλείας θα πρέπει να ενσωματώσουν τους ακόλουθους δείκτες συμβιβασμού (IOC) στους αγωγούς ανίχνευσης για να αποκλείσουν αυτήν την απειλή:
- Κακόβουλο αναγνωριστικό επέκτασης: bbhaganppipihlhjgaaeeeefbaoihcgi,
- Διεύθυνση ηλεκτρονικού ταχυδρομείου εκδότη: liomassi19855@gmail[.]com,
- Κύρια σελίδα προορισμού phishing: chroomewedbstorre-detail-extension[.]com,
- Ωφέλιμο φορτίο απομακρυσμένης διαμόρφωσης: jsonkeeper[.]com/b/KUWNE,
- Υποδομή κακόβουλου σεναρίου: compute-fonts-appconnect.pages[.]dev
