شركتي MyCrypto وPhishFort يحتوي كتالوج سوق Chrome الإلكتروني على 49 وظيفة إضافية ضارة ترسل المفاتيح وكلمات المرور من محافظ العملات المشفرة إلى خوادم المهاجمين. تم توزيع الوظائف الإضافية باستخدام أساليب إعلان التصيد الاحتيالي وتم تقديمها كتطبيقات لمحافظ العملات المشفرة المختلفة. استندت الإضافات إلى رمز المحافظ الرسمية، ولكنها تضمنت تغييرات ضارة أرسلت مفاتيح خاصة، ورموز استرداد الوصول، والملفات الرئيسية.
بالنسبة لبعض الوظائف الإضافية، بمساعدة المستخدمين الوهميين، تم الحفاظ على تصنيف إيجابي بشكل مصطنع ونشرت مراجعات إيجابية. قامت Google بإزالة هذه الوظائف الإضافية من سوق Chrome الإلكتروني خلال 24 ساعة من الإخطار. بدأ نشر الإضافات الضارة الأولى في فبراير، لكن الذروة حدثت في مارس (34.69%) وأبريل (63.26%).
يرتبط إنشاء جميع الوظائف الإضافية بمجموعة واحدة من المهاجمين، الذين قاموا بنشر 14 خادم تحكم لإدارة التعليمات البرمجية الضارة وجمع البيانات التي تعترضها الوظائف الإضافية. استخدمت جميع الوظائف الإضافية تعليمات برمجية ضارة قياسية، ولكن تم تمويه الوظائف الإضافية نفسها كمنتجات مختلفة، Ledger (57% من الإضافات الضارة)، MyEtherWallet (22%)، Trezor (8%)، Electrum (4%)، KeepKey (4%)، Jaxx (2%)، MetaMask وExodus.
أثناء الإعداد الأولي للوظيفة الإضافية، تم إرسال البيانات إلى خادم خارجي وبعد مرور بعض الوقت تم خصم الأموال من المحفظة.
المصدر: opennet.ru