Empreses MyCrypto i PhishFort El catàleg de Chrome Web Store conté 49 complements maliciosos que envien claus i contrasenyes des de carteres criptogràfiques als servidors atacants. Els complements es van distribuir mitjançant mètodes de publicitat de phishing i es van presentar com a implementacions de diverses carteres de criptomoneda. Les addicions es basaven en el codi de les carteres oficials, però incloïen canvis maliciosos que enviaven claus privades, codis de recuperació d'accés i fitxers de claus.
Per a alguns complements, amb l'ajuda d'usuaris ficticis, es va mantenir artificialment una valoració positiva i es van publicar ressenyes positives. Google va eliminar aquests complements de Chrome Web Store en les 24 hores següents a la notificació. La publicació dels primers complements maliciosos va començar al febrer, però el pic es va produir al març (34.69%) i a l'abril (63.26%).
La creació de tots els complements està associada a un grup d'atacants, que va desplegar 14 servidors de control per gestionar codi maliciós i recopilar dades interceptades pels complements. Tots els complements utilitzaven codi maliciós estàndard, però els complements es van camuflar com a productes diferents, Ledger (57% de complements maliciosos), MyEtherWallet (22%), Trezor (8%), Electrum (4%), KeepKey (4%), Jaxx (2%), MetaMask i Exodus.
Durant la configuració inicial del complement, les dades es van enviar a un servidor extern i després d'un temps els fons es van carregar de la cartera.
Font: opennet.ru