L'ANALISI TECNICA

Safepal Wallet, l’add-on per Firefox che ruba criptovalute: ecco come difendersi dalla truffa

Un componente aggiuntivo dannoso per Firefox chiamato Safepal Wallet, ora rimosso da Mozilla, è riuscito a truffare gli utenti svuotando i loro portafogli di criptovalute. Analizziamo il suo modus operandi per imparare a stare alla larga dalle crypto truffe

28 Set 2021
D
Manuel De Stefano

IT Process Expert

Si chiama Safepal Wallet ed è un componente aggiuntivo di Firefox che da sette mesi, cioè da quando è stato reso disponibile sullo store di add-on del browser, ha truffato gli utenti che lo hanno installato svuotando i loro portafogli di criptovalute.

L’add-on è stato ora rimosso, ma a quanto pare il sito Web di phishing creato dagli autori della minaccia per attirare le vittime nella trappola risulta essere ancora attivo.

Per rendere la truffa più credibile, Safepal Wallet si presentava come lo strumento giusto per “salvare in modo sicuro la chiave privata a livello locale”, insieme a convincenti immagini di prodotti e materiali di marketing che rimandavano al sito ufficiale di SafePal dal quale, però, è possibile scaricare esclusivamente le app per Android e iOS senza alcun riferimento ad eventuali estensioni per browser.

Curioso notare anche che il tool malevolo aveva dimensioni davvero contenute, solo 235 KB, forse per non destare troppi sospetti.

La pagina del componente aggiuntivo Safepal Wallet era attiva dal 16 febbraio 2021.

Migliaia di dollari rubati a causa di Safepal Wallet

Safepal si presentava come un contenitore sicuro (un wallet, per l’appunto) per più di 10.000 tipi di asset, inclusi Bitcoin, Ethereum e Litecoin, ma in realtà agiva come un malware in maniera indisturbata all’interno del browser.

WHITEPAPER
Comunicazioni professionali: le tue sono davvero protette?
Legal
Sicurezza

L’add-on malevolo è stato identificato grazie alle disavventure di un utente Firefox che, sul forum di supporto di Mozilla, si fa chiamare Cali e che in un post ha scritto: “Oggi ho sfogliato l’elenco dei componenti aggiuntivi di Mozilla Firefox, stavo cercando l’estensione Safepal Wallet per utilizzare il mio portafoglio di criptovaluta anche nel browser Web”.

Ignaro di quello che sarebbe successo di lì a poco, Cali ha installato il componente aggiuntivo e ha creato un proprio account. Poche ore dopo l’accesso a Safepal Wallet, però, ha visto il saldo del proprio portafoglio di criptovalute scendere a zero.

“Ero sotto shock… Analizzando le mie ultime transazioni ho visto che i miei fondi erano stati trasferiti in un altro portafoglio. Non potevo credere che la colpa fosse di un add-on distribuito nella lista delle estensioni di Mozilla Firefox”, ha aggiunto nel suo post.

In particolare, Safepal Wallet sarebbe riuscito a spostare ben 4.000 dollari in Bitcoin su un altro portafogli di criptovalute gestito dall’attore della minaccia.

Non si sa, al momento, se altri utenti hanno vissuto la stessa disavventura di Cali.

La custodia sicura di Bitcoin: aspetti tecnologici, funzionali e regolamentari

Rimane da capire come Safepal Wallet sia riuscito a superare i controlli di sicurezza che vengono effettuati sugli add-on per Firefox.

In genere, infatti, per pubblicare un componente aggiuntivo sul sito Web di Mozilla gli sviluppatori devono seguire una specifica procedura di invio che, tra le altre cose, prevede che gli add-on siano “soggetti a revisione da parte di Mozilla in qualsiasi momento”.

Quel che è certo è che le possibilità che si riescano a recuperare i fondi rubati sono molto scarse: “ho già parlato con la polizia e non possono fare nulla per me. Mi hanno detto che non c’è modo di rintracciare il truffatore”, ha fatto sapere ancora Cali nel suo post.

La stessa Mozilla sta ora indagando su quanto accaduto e, per voce di un portavoce, ha fatto sapere che “la sicurezza dell’estensione è importante per noi e il nostro ecosistema risponde continuamente alle mutevoli minacce”.

“Il nostro obiettivo è quello di limitare i danni che le estensioni dannose possono fare, aiutare gli utenti a scoprire le estensioni consigliate che esaminiamo e monitoriamo costantemente, aiutarli a comprendere i rischi che derivano dalla loro installazione e rendere più facile la segnalazione di quelle potenzialmente dannose”.

“Quando veniamo a conoscenza di componenti aggiuntivi che rappresentano un rischio per la sicurezza e la privacy in base alle nostre norme sui componenti aggiuntivi, adottiamo misure per impedirne l’esecuzione in Firefox. In questo caso, poco dopo essere venuti a conoscenza di un potenziale abuso da parte di questa estensione, abbiamo provveduto a bloccarla e rimuoverla dallo store dei componenti aggiuntivi di Firefox.”

Infine, conclude la nota di Mozilla, “gli utenti dovrebbero essere particolarmente cauti nell’installare software di terze parti che potrebbero avere accesso a informazioni private o risorse finanziarie”.

Estensioni del browser, i malware più sottovalutati: ecco i rischi che si corrono e i rimedi

Come avviene la truffa e come difendersi

Durante alcune analisi, gli esperti di Bleepingcomputer si sono imbattuti nel dominio di phishing utilizzato dal componente aggiuntivo:

https[:] // safeuslife[.]com / tool /

Un controllo sui record WHOIS indica che il sito è stato registrato nel gennaio di quest’anno tramite il servizio di web hosting Namecheap.

Ovviamente, la procedura indicata per ripristinare il proprio wallet di criptovalute non sortisce alcun effetto se non quello di riaggiornare semplicemente la pagina senza alcuna risposta evidente.

Se non fosse che, così facendo, la frase di backup (il cosiddetto “seme”) necessaria per recuperare la chiave privata di accesso al proprio wallet viene inviata all’attore della minaccia.

Crypto truffe su Discord e Telegram: cosa sono, come riconoscerle e difendersi

Quanto accaduto è dunque un’utile lezione per imparare a difendersi dalle crypto truffe.

È bene ricordare, infatti, che la frase di ripristino del proprio wallet deve rimanere segreta ed è pensata per essere utilizzata in circostanze eccezionali e solo sull’app o sul sito Web attendibile del fornitore del servizio.

Una frase di recupero rubata, infatti, può concedere ai criminal hacker il controllo del portafoglio con la possibilità di trasferire fondi.

Inoltre, negli ultimi tempi il fenomeno delle truffe sulle criptovalute è in pericoloso aumento, con i criminal hacker che cercano sempre modi innovativi e difficili da individuare per ingannare le proprie vittime.

Bisogna quindi prestare sempre la massima attenzione quando si forniscono le proprie frasi di sicurezza o trasferiscono criptovalute online.

WEBINAR
8 Giugno 2022 - 12:00
Governance e sicurezza dei dati. Come gestirli al meglio?
Big Data
Sicurezza
@RIPRODUZIONE RISERVATA