MyCrypto i PhishFort kompanije Katalog Chrome web trgovine sadrži 49 zlonamjernih dodataka koji šalju ključeve i lozinke iz kripto novčanika na servere napadača. Dodaci su distribuirani korištenjem phishing metoda oglašavanja i predstavljeni su kao implementacije različitih novčanika za kriptovalute. Dodaci su bili bazirani na kodu službenih novčanika, ali su uključivali zlonamjerne promjene koje su slale privatne ključeve, pristupne kodove za oporavak i datoteke ključeva.
Za neke dodatke, uz pomoć fiktivnih korisnika, umjetno je održavana pozitivna ocjena i objavljivane pozitivne kritike. Google je uklonio ove dodatke iz Chrome web trgovine u roku od 24 sata od obavještenja. Objavljivanje prvih zlonamjernih dodataka počelo je u februaru, ali je vrhunac bio u martu (34.69%) i aprilu (63.26%).
Kreiranje svih dodataka povezano je s jednom grupom napadača, koji je postavio 14 kontrolnih servera za upravljanje zlonamjernim kodom i prikupljanje podataka presretnutih dodacima. Svi dodaci su koristili standardni zlonamjerni kod, ali su sami dodaci bili kamuflirani kao različiti proizvodi, Ledger (57% zlonamjernih dodataka), MyEtherWallet (22%), Trezor (8%), Electrum (4%), KeepKey (4%), Jaxx (2%), MetaMask i Exodus.
Prilikom početnog podešavanja dodatka, podaci su poslani na eksterni server i nakon nekog vremena sredstva su terećena sa novčanika.
izvor: opennet.ru