Кампаніі MyCrypto і PhishFort у каталогу Chrome Web Store 49 шкоднасных дадаткаў, якія адпраўляюць ключы і паролі ад криптокошельков на серверы зламыснікаў. Дадаткі распаўсюджваліся з выкарыстаннем метадаў фішынгавай рэкламы і падаваліся як рэалізацыі розных кашалькоў криптовалют. Дадаткі былі заснаваныя на кодзе афіцыйных кашалькоў, але ўключалі шкоднасныя змены, якія выконваюць адпраўку зачыненых ключоў, кодаў узнаўлення доступу і файлаў з ключамі.
Для некаторых дапаўненняў пры дапамозе фіктыўных карыстальнікаў штучна падтрымліваўся станоўчы рэйтынг і публікаваліся станоўчыя водгукі. Кампанія Google выдаліла паказаныя дадаткі з каталога Chrome Web Store на працягу 24 гадзін пасля апавяшчэння. Публікацыя першых шкоднасных дадаткаў пачалася ў лютым, але пік прыпаў на сакавік (34.69%) і красавік (63.26%).
Стварэнне ўсіх дадаткаў звязваецца з адной групай атакавалых, якая разгарнула 14 кіравальных сервераў для кіравання шкоднасным кодам і збору перахапляных дадаткамі дадзеных. Ва ўсіх дадатках выкарыстоўваўся тыпавы шкоднасны код, але самі дадаткі камуфляваліся пад розныя прадукты, Ledger (57% шкоднасных дапаўненняў), MyEtherWallet (22%), Trezor (8%), Electrum (4%), KeepKey (4%), Jaxx (2%), MetaMask і Exodus.
Падчас пачатковай налады дадатку дадзеныя адпраўляліся на вонкавы сервер і праз нейкі час з кашалька спісваліся сродкі.
Крыніца: opennet.ru