Descoberta e escopo
O Socket’s Threat Research Team descobriu uma extensão maliciosa do Google Chrome chamada "lmΤoken Chromophore" que se passa por um visualizador de cores hexadecimais, mas na verdade rouba credenciais de carteiras de criptomoedas. A extensão se faz passar pela marca imToken, que tem mais de 20 milhões de usuários globais.
Vetor e exploração
Após a instalação, a extensão ignora sua funcionalidade anunciada e age como um redirecionador leve. Seu código de fundo busca automaticamente um site-alvo de um endpoint remoto hospedado no JSONKeeper e abre uma nova aba do navegador direcionada à infraestrutura do atacante. Isso permite que os criminosos alterem o destino de phishing a qualquer momento sem precisar atualizar o código da extensão na Chrome Web Store.
Evidências e limites
Os atacantes usam homógrafos de script misto (Unicode) para substituir letras latinas padrão por caracteres cirílicos e gregos visualmente idênticos, evadindo sistemas de detecção de texto simples. A página de phishing apresenta uma interface fraudulenta de importação de carteira que solicita a frase mnemônica de 12 ou 24 palavras ou chaves privadas em texto simples.
Remediação e IOCs
Equipes de segurança devem restringir instalações de extensões em perfis de navegador sensíveis. Usuários que inseriram frases de seed ou chaves privadas devem tratar a carteira como comprometida e rotacionar os fundos imediatamente. Indicadores de comprometimento incluem o ID da extensão maliciosa "bbhaganppipihlhjgaaeeeefbaoihcgi" e o domínio de phishing "chroomewedbstorre-detail-extension[.]com".