MyCrypto- und PhishFort-Unternehmen Der Chrome Web Store-Katalog enthält 49 bösartige Add-ons, die Schlüssel und Passwörter von Krypto-Wallets an Angreiferserver senden. Die Add-ons wurden über Phishing-Werbemethoden verbreitet und als Implementierungen verschiedener Kryptowährungs-Wallets präsentiert. Die Ergänzungen basierten auf dem Code offizieller Wallets, beinhalteten jedoch böswillige Änderungen, die private Schlüssel, Zugriffswiederherstellungscodes und Schlüsseldateien verschickten.
Bei einigen Add-ons wurde mit Hilfe fiktiver Nutzer künstlich eine positive Bewertung aufrechterhalten und positive Rezensionen veröffentlicht. Google hat diese Add-ons innerhalb von 24 Stunden nach der Benachrichtigung aus dem Chrome Web Store entfernt. Die Veröffentlichung der ersten bösartigen Add-ons begann im Februar, der Höhepunkt wurde jedoch im März (34.69 %) und April (63.26 %) erreicht.
Die Erstellung aller Add-ons wird mit einer Gruppe von Angreifern in Verbindung gebracht, die 14 Kontrollserver einsetzte, um Schadcode zu verwalten und von Add-ons abgefangene Daten zu sammeln. Alle Add-ons nutzten standardmäßigen Schadcode, die Add-ons selbst wurden jedoch als unterschiedliche Produkte getarnt. Ledger (57 % bösartige Add-ons), MyEtherWallet (22 %), Trezor (8 %), Electrum (4 %), KeepKey (4 %), Jaxx (2 %), MetaMask und Exodus.
Bei der Ersteinrichtung des Add-ons wurden die Daten an einen externen Server gesendet und nach einiger Zeit das Geld vom Wallet abgebucht.
Source: opennet.ru