MyCrypto- ja PhishFort-yritykset Chrome Web Store -luettelo sisältää 49 haitallista lisäosaa, jotka lähettävät avaimia ja salasanoja salauslompakoista hyökkääjäpalvelimille. Lisäosat jaettiin phishing-mainontamenetelmillä ja esiteltiin erilaisten kryptovaluuttalompakoiden toteutuksina. Lisäykset perustuivat virallisten lompakoiden koodiin, mutta sisälsivät haitallisia muutoksia, jotka lähettivät yksityisiä avaimia, pääsyn palautuskoodeja ja avaintiedostoja.
Joidenkin lisäosien kohdalla positiivinen luokitus ylläpidettiin keinotekoisesti kuvitteellisten käyttäjien avulla ja positiivisia arvosteluja julkaistiin. Google poisti nämä lisäosat Chrome Web Storesta 24 tunnin kuluessa ilmoituksesta. Ensimmäisten haitallisten lisäosien julkaisu alkoi helmikuussa, mutta huippu saavutettiin maaliskuussa (34.69 %) ja huhtikuussa (63.26 %).
Kaikkien lisäosien luominen liittyy yhteen hyökkääjäryhmään, joka otti käyttöön 14 ohjauspalvelinta haitallisen koodin hallintaan ja lisäosien siepattujen tietojen keräämiseen. Kaikki lisäosat käyttivät tavallista haittakoodia, mutta itse lisäosat naamioitiin eri tuotteiksi, Ledger (57 % haitallisia lisäosia), MyEtherWallet (22 %), Trezor (8 %), Electrum (4 %), KeepKey (4 %), Jaxx (2 %), MetaMask ja Exodus.
Lisäosan alkuasennuksen aikana tiedot lähetettiin ulkoiselle palvelimelle ja jonkin ajan kuluttua varat veloitettiin lompakosta.
Lähde: opennet.ru