Un investitore in criptovalute si vede sottrarre 800.000 dollari dai suoi portafogli in 46 ore

Un investitore in criptovalute, noto con lo pseudonimo di Sell When Over, si è rivolto a Twitter per raccontare un'allarmante vicenda in cui un hacker ha sottratto 800.000 dollari dai suoi wallet di criptovalute in sole 46 ore. Il problema principale sembra ruotare attorno a un potenziale di Google Chrome, facilitato probabilmente da aggiornamenti ritardati o malware non rilevati, che ha portato all'installazione non autorizzata di estensioni dannose.

Lo smantellamento dei livelli di sicurezza

Sell ​​When Over ha raccontato di aver rinviato un aggiornamento di Chrome, per poi essere costretto a farlo da un successivo aggiornamento di Windows. Dopo il riavvio, le modifiche di Chrome sono state immediate: schede scomparse e accessi alle estensioni reimpostati. Questa anomalia lo ha costretto a reimportare i seed del suo wallet, un processo che ha eseguito meticolosamente da un dispositivo secondario, non compromesso.

Tuttavia, è stata la scoperta di due estensioni peculiari, "Sync Test Beta" e "Simple Game", abbinata all'attivazione non richiesta della traduzione automatica in coreano, a suggerire una compromissione più profonda. Curiosamente, una specifica app wallet, risparmiata dal processo di reimportazione, è rimasta inalterata, individuando l'origine della violazione in un singolo PC compromesso.

Un'analisi più approfondita di queste estensioni ha rivelato funzionalità allarmanti. "Sync Test Beta", un'estensione dai colori vivaci, è statadentcome un keylogger, che trasmetteva segretamente dati a uno script PHP esterno. D'altro canto, "Simple Game" sembrava monitorare le attività delle schede del browser. Sell When Over ha lamentato la saggezza retrospettiva di una cancellazione completa del PC alla minima anomalia, soprattutto quando tali peculiarità coincidono con aggiornamenti significativi come la revisione dell'interfaccia utente di Chrome.

Una lezione costosa sulla vigilanza digitale

Con l'espandersi della discussione, Sell When Over ha svelato una falla critica nella sicurezza: una violazione dell'accesso a Google collegata a un oscuro dispositivo Windows, probabilmente falsificando un nome di dispositivo familiare per aggirare il rilevamento precoce. Questa violazione è stata traca un VPS ospitato da Kaopu Cloud, noto tra gli hacker per il suo ruolo in vari reati informatici. Nonostante l'autenticazione a due fattori (2FA) abilitata, l'aggressore l'ha aggirata, lasciando il metodo esatto della violazione, che va dal phishing OAuth al cross-site scripting, oggetto di speculazione.

L'dent è stato un duro campanello d'allarme, con Sell When Over che ha condiviso diversi punti chiave:

1. Delusione per l'incapacità di Bitdefender di rilevare minacce, in contrasto con l'efficacia di Malwarebytes.
2. Un avvertimento contro l'autocompiacimento in materia di sicurezza, indipendentemente dalla quantità di criptovalute gestite.
3. Un severo consiglio contro l'inserimento di frasi seed sotto qualsiasi pretesto, che suggerisce invece una nuova configurazione del sistema.
4. Abbandonare Chrome in favore di browser più sicuri come Brave.
5. L'importanza della segregazione dei dispositivi, soprattutto per le transazioni crittografiche.
6. Monitoraggio regolare degli avvisi di Google Activity.
7. Consigli per disattivare la sincronizzazione delle estensioni, in particolare sui dispositivi progettati per la crittografia.
8. Un riconoscimento dei limiti dell'autenticazione a due fattori.
9. La necessità di controlli di sicurezza di routine e aggiornamenti procedurali per scongiurare minacce latenti.

Nonostante la perdita finanziaria, Sell When Over ha chiarito che il suo portafoglio hardware era rimasto al sicuro, respingendo qualsiasi speculazione sui motivi di evasione fiscale alla base di questa rivelazione. Nonostante una parte dei fondi rubati abbia iniziato a essere riciclata, è stata offerta una ricompensa di 150.000 dollari per la loro restituzione, insieme a considerazioni per un'indagine forense basata su una ricompensa.

La saga si è conclusa con una nota di continua vigilanza, soprattutto sullo sfondo della discutibile decisione di Google di diffondere avvisi di sicurezza, una mossa che potenzialmente ha mascherato l'intrusione.