شرکت های MyCrypto و PhishFort کاتالوگ فروشگاه وب کروم حاوی 49 افزونه مخرب است که کلیدها و گذرواژهها را از کیف پولهای کریپتو به سرورهای مهاجم ارسال میکنند. افزونهها با استفاده از روشهای تبلیغات فیشینگ توزیع شدند و به عنوان پیادهسازی کیف پولهای ارزهای دیجیتال مختلف ارائه شدند. این موارد اضافه شده بر اساس کد کیف پول های رسمی بود، اما شامل تغییرات مخربی بود که کلیدهای خصوصی، دسترسی به کدهای بازیابی و فایل های کلیدی را ارسال می کرد.
برای برخی از افزونه ها، با کمک کاربران ساختگی، امتیاز مثبت به طور مصنوعی حفظ شد و نظرات مثبت منتشر شد. Google این افزونهها را از فروشگاه وب کروم ظرف 24 ساعت پس از اعلان حذف کرد. انتشار اولین افزونه های مخرب در ماه فوریه آغاز شد، اما اوج آن در ماه مارس (34.69٪) و آوریل (63.26٪) رخ داد.
ایجاد همه افزونهها با یک گروه از مهاجمان مرتبط است که 14 سرور کنترلی را برای مدیریت کدهای مخرب و جمعآوری دادههای رهگیری شده توسط افزونهها مستقر کردهاند. همه افزونهها از کد مخرب استاندارد استفاده میکردند، اما خود افزونهها به عنوان محصولات مختلف استتار میشدند. Ledger (57% افزونه های مخرب)، MyEtherWallet (22%)، Trezor (8%)، Electrum (4%)، KeepKey (4%)، Jaxx (2%)، MetaMask و Exodus.
در طول راه اندازی اولیه افزونه، داده ها به یک سرور خارجی ارسال شد و پس از مدتی وجوه از کیف پول برداشت شد.
منبع: opennet.ru