冒充試算表Chrome插件「Google Sheets」，駭客趁機掉包轉帳目標地址！

研究 Web 3 安全的推特用戶 @Wallet_guard，揭露有駭客透過以名為「Google Sheets」Google Chrome 插件程式，冒充原本 Google 旗下的試算表（Sheets）應用，偷取加密資產。冒牌的插件程式是透過編寫特定的腳本，當你瀏覽器進入像 Coinbase、Kucoin、幣安（Binance）、Gate.io 等交易所時，插件便會掉包你輸入的轉帳地址拿走轉款。
（前情提要：Google研究員：北韓駭客透過「Chrome零時差漏洞」攻擊加密貨幣、媒體等機構）
（背景補充：NFT 與 Defi 玩家必學！輕鬆「撤銷」智能合約授權、防止惡意與漏洞偷竊）

Google Chrome 今年初曾爆出漏洞，讓北韓駭客有機可乘，利用漏洞對加密貨幣行業進行攻擊。這次出現漏洞的並非 Google Chrome 本身，而是來自插件功能。專門研究Web 3 相關安全的推特用戶 @Wallet_guard，揭露有駭客透過以名為「Google Sheets」Google Chrome 插件程式，冒充原本 Google 旗下的試算表（Sheets）應用，偷取加密資產。不過心思細膩的讀者就能發現箇中的破綻﹕

這個冒牌的 Google Sheets 圖示，還額外附送 Docs（文件） 跟 Slides（簡報），而且真正的試算表功能也只會以「Sheets」呈現，而非「Google Sheets」。

Details about the malicious extension/

This extension is claiming to be 'Google Sheets' on the official chrome store you can see the real extension is called 'Sheets' with a completely different icon.

Malicious icon shown below pic.twitter.com/gxcmkL3jdk

— Wallet Guard (@wallet_guard) August 20, 2022

掉包你在交易所輸入過的轉帳地址

到底這個冒牌「Google Sheets」是怎樣乘虛而入，偷走被害者的資產呢？冒牌的插件程式是透過編寫特定的腳本，當你瀏覽器進入像 Coinbase、Kucoin、幣安（Binance）、Gate.io 等交易所時，他會透過網頁的文件物件模型，得知特定欄位為轉帳地址。

正當你輸入了正確地址，甚至再三確認也好，它會在你送出表單前一刻，立即掉包成他早已備好的地址。這讓你即使被騙，也不會立刻察覺。

What does it do?/

In the image below you can see when you have this malicious extension downloaded it will modify the content of a website to replace a deposit address with their own.

On the left you can see the injected address, on the right you can see the original. pic.twitter.com/v0cYek3qq2

— Wallet Guard (@wallet_guard) August 20, 2022

有趣的是， @wallet_guard 發現 Kucoin 有些情況能成功阻擋插件功能，但卻未知具體原因。

Observations/

We also noticed some Kucoin scripts being blocked however, we're unsure why.

On the left you can see that nothing external was loaded on the main page.

On the right you can see code injection on the deposit or withdrawal pages via the 'Google Sheets' pic.twitter.com/sM96zuq3zo

— Wallet Guard (@wallet_guard) August 20, 2022

追蹤贓款動向

後來 @wallet_guard 刻意效下魚餌，並成功上釣，進一步追蹤騙徒的資金動向。他留意到錢最終流向，魚餌進到 0x11a2cDBcaB651553C406c5a8364FD63A030Bf2D3 錢包後，再流向 0x47db355dbb2d11ab65df6a79a9b4e0a2cdad3ba7 、 0x7483a733c05a52e474fd190a5b28cff08f31d853 和網上銀行。不過，目前還未知道是轉帳到哪一間銀行。

Here you can see the hacker also moving funds to a bank (currently unknown which) pic.twitter.com/xjr6eUNMXa

— Wallet Guard (@wallet_guard) August 20, 2022

檢查你的插件會否偷換你的地址

如果你不確定自己的插件功能會不會被開「後門」，你可以右按「插件功能」，點進管理版面，去檢視該插件的原代碼，留意會否出現如圖下的原始碼。不過，更重要的是，切忌胡亂安裝來歷不明的插件程式，尤其是未有在 Google 官方應用商店上架的，確保所用的插件獲得安全認證。

Web3 Extension Malware

There is a new scam going around that leverages a chrome extension to intercept and modify your exchange deposit address & withdrawal requests. This means that even if you double check your addresses, you can still become a victim 1/

Co-Auth: @0xQuit pic.twitter.com/NodpkcrMgk

— Wallet Guard (@wallet_guard) August 20, 2022

相關報導

神魚警告 : 盡快更新Chrome瀏覽器！避免Metamask (小狐狸錢包) 遭漏洞攻擊

Defi、NFT投資者必學工具》瀏覽器擴充 Revoke — 撤銷可疑合約授權、釣魚網站警示

慎防釣魚｜統計 : 6月Discord NFT詐騙增55%、損失2200萬美元、攻擊源疑自中國