Empresas MyCrypto y PhishFort El catálogo de Chrome Web Store contiene 49 complementos maliciosos que envían claves y contraseñas desde billeteras criptográficas a servidores atacantes. Los complementos se distribuyeron mediante métodos publicitarios de phishing y se presentaron como implementaciones de varias carteras de criptomonedas. Las adiciones se basaron en el código de las billeteras oficiales, pero incluyeron cambios maliciosos que enviaban claves privadas, códigos de recuperación de acceso y archivos de claves.
Para algunos complementos, con la ayuda de usuarios ficticios, se mantuvo artificialmente una calificación positiva y se publicaron reseñas positivas. Google eliminó estos complementos de Chrome Web Store dentro de las 24 horas posteriores a la notificación. La publicación de los primeros complementos maliciosos comenzó en febrero, pero el pico se produjo en marzo (34.69%) y abril (63.26%).
La creación de todos los complementos está asociada a un grupo de atacantes, que desplegó 14 servidores de control para gestionar el código malicioso y recopilar datos interceptados por los complementos. Todos los complementos utilizaban código malicioso estándar, pero los complementos en sí estaban camuflados como productos diferentes. Ledger (57% complementos maliciosos), MyEtherWallet (22%), Trezor (8%), Electrum (4%), KeepKey (4%), Jaxx (2%), MetaMask y Exodus.
Durante la configuración inicial del complemento, los datos se enviaron a un servidor externo y después de un tiempo los fondos se debitaron de la billetera.
Fuente: opennet.ru