Οι εταιρείες MyCrypto και PhishFort Ο κατάλογος του Chrome Web Store περιέχει 49 κακόβουλα πρόσθετα που στέλνουν κλειδιά και κωδικούς πρόσβασης από κρυπτογραφικά πορτοφόλια σε διακομιστές εισβολέων. Τα πρόσθετα διανεμήθηκαν χρησιμοποιώντας μεθόδους διαφήμισης phishing και παρουσιάστηκαν ως υλοποιήσεις διαφόρων πορτοφολιών κρυπτονομισμάτων. Οι προσθήκες βασίστηκαν στον κώδικα των επίσημων πορτοφολιών, αλλά περιλάμβαναν κακόβουλες αλλαγές που έστελναν ιδιωτικά κλειδιά, κωδικούς ανάκτησης πρόσβασης και αρχεία κλειδιών.
Για ορισμένα πρόσθετα, με τη βοήθεια εικονικών χρηστών, διατηρήθηκε τεχνητά μια θετική βαθμολογία και δημοσιεύθηκαν θετικές κριτικές. Η Google αφαίρεσε αυτά τα πρόσθετα από το Chrome Web Store εντός 24 ωρών από την ειδοποίηση. Η δημοσίευση των πρώτων κακόβουλων πρόσθετων ξεκίνησε τον Φεβρουάριο, αλλά η κορύφωση σημειώθηκε τον Μάρτιο (34.69%) και τον Απρίλιο (63.26%).
Η δημιουργία όλων των πρόσθετων σχετίζεται με μια ομάδα εισβολέων, η οποία ανέπτυξε 14 διακομιστές ελέγχου για τη διαχείριση κακόβουλου κώδικα και τη συλλογή δεδομένων που υποκλαπούν από πρόσθετα. Όλα τα πρόσθετα χρησιμοποιούσαν τυπικό κακόβουλο κώδικα, αλλά τα ίδια τα πρόσθετα ήταν καμουφλαρισμένα ως διαφορετικά προϊόντα, Ledger (57% κακόβουλα πρόσθετα), MyEtherWallet (22%), Trezor (8%), Electrum (4%), KeepKey (4%), Jaxx (2%), MetaMask και Exodus.
Κατά την αρχική εγκατάσταση του πρόσθετου, τα δεδομένα στάλθηκαν σε εξωτερικό διακομιστή και μετά από κάποιο χρονικό διάστημα τα χρήματα χρεώθηκαν από το πορτοφόλι.
Πηγή: opennet.ru