Ettevõtted MyCrypto ja PhishFort Chrome'i veebipoe kataloog sisaldab 49 pahatahtlikku lisandmoodulit, mis saadavad krüptorahakotist võtmeid ja paroole ründajaserveritele. Lisandmooduleid levitati õngitsemisreklaami meetoditega ja neid esitleti erinevate krüptoraha rahakottide teostustena. Täiendused põhinesid ametlike rahakottide koodil, kuid sisaldasid pahatahtlikke muudatusi, mis saatsid privaatvõtmeid, juurdepääsu taastamise koode ja võtmefaile.
Mõne lisandmooduli puhul säilitati fiktiivsete kasutajate abiga kunstlikult positiivne hinnang ja avaldati positiivsed arvustused. Google eemaldas need lisandmoodulid Chrome'i veebipoest 24 tunni jooksul pärast teavitamist. Esimeste pahatahtlike lisandmoodulite avaldamine algas veebruaris, kuid tipphetk saabus märtsis (34.69%) ja aprillis (63.26%).
Kõikide lisandmoodulite loomine on seotud ühe ründajate rühmaga, mis juurutas 14 kontrollserverit, et hallata pahatahtlikku koodi ja koguda lisandmoodulite poolt kinni võetud andmeid. Kõik lisandmoodulid kasutasid standardset pahatahtlikku koodi, kuid lisandmoodulid ise olid maskeeritud erinevate toodetena, Ledger (57% pahatahtlikud lisandmoodulid), MyEtherWallet (22%), Trezor (8%), Electrum (4%), KeepKey (4%), Jaxx (2%), MetaMask ja Exodus.
Lisandmooduli esmase seadistamise ajal saadeti andmed välisserverisse ja mõne aja pärast debiteeriti raha rahakotist.
Allikas: opennet.ru