Společnosti MyCrypto a PhishFort Katalog Internetového obchodu Chrome obsahuje 49 škodlivých doplňků, které odesílají klíče a hesla z kryptopeněženek na servery útočníků. Doplňky byly distribuovány pomocí phishingových reklamních metod a byly prezentovány jako implementace různých kryptoměnových peněženek. Dodatky byly založeny na kódu oficiálních peněženek, ale zahrnovaly škodlivé změny, které posílaly soukromé klíče, kódy pro obnovení přístupu a soubory klíčů.
U některých doplňků bylo s pomocí fiktivních uživatelů uměle udržováno kladné hodnocení a byly publikovány kladné recenze. Google odstranil tyto doplňky z Internetového obchodu Chrome do 24 hodin od upozornění. Publikování prvních škodlivých doplňků začalo v únoru, ale vrchol nastal v březnu (34.69 %) a dubnu (63.26 %).
Vytvoření všech doplňků je spojeno s jednou skupinou útočníků, která nasadila 14 řídicích serverů pro správu škodlivého kódu a sběr dat zachycených doplňky. Všechny doplňky používaly standardní škodlivý kód, ale samotné doplňky byly maskovány jako různé produkty, Ledger (57 % škodlivých doplňků), MyEtherWallet (22 %), Trezor (8 %), Electrum (4 %), KeepKey (4 %), Jaxx (2 %), MetaMask a Exodus.
Při prvotním nastavení doplňku byla data odeslána na externí server a po nějaké době byly prostředky odepsány z peněženky.
Zdroj: opennet.ru