MyCrypto og PhishFort virksomheder Chrome Webshop-kataloget indeholder 49 ondsindede tilføjelser, der sender nøgler og adgangskoder fra kryptotegnebøger til angriberservere. Tilføjelserne blev distribueret ved hjælp af phishing-annonceringsmetoder og blev præsenteret som implementeringer af forskellige cryptocurrency-punge. Tilføjelserne var baseret på koden for officielle tegnebøger, men inkluderede ondsindede ændringer, der sendte private nøgler, adgangsgendannelseskoder og nøglefiler.
For nogle tilføjelser, med hjælp fra fiktive brugere, blev en positiv vurdering kunstigt opretholdt, og positive anmeldelser blev offentliggjort. Google fjernede disse tilføjelser fra Chrome Webshop inden for 24 timer efter meddelelsen. Udgivelsen af de første ondsindede tilføjelser begyndte i februar, men toppen fandt sted i marts (34.69 %) og april (63.26 %).
Oprettelsen af alle tilføjelser er forbundet med én gruppe af angribere, som installerede 14 kontrolservere til at administrere ondsindet kode og indsamle data opsnappet af tilføjelser. Alle tilføjelser brugte standard ondsindet kode, men selve tilføjelserne blev camoufleret som forskellige produkter, Ledger (57% ondsindede tilføjelser), MyEtherWallet (22%), Trezor (8%), Electrum (4%), KeepKey (4%), Jaxx (2%), MetaMask og Exodus.
Under den indledende opsætning af tilføjelsen blev dataene sendt til en ekstern server, og efter nogen tid blev pengene trukket fra tegnebogen.
Kilde: opennet.ru