Sociétés MyCrypto et PhishFort Le catalogue du Chrome Web Store contient 49 modules complémentaires malveillants qui envoient des clés et des mots de passe depuis des portefeuilles cryptographiques vers des serveurs attaquants. Les modules complémentaires ont été distribués à l'aide de méthodes de publicité de phishing et ont été présentés comme des implémentations de divers portefeuilles de crypto-monnaie. Les ajouts étaient basés sur le code des portefeuilles officiels, mais incluaient des modifications malveillantes qui envoyaient des clés privées, des codes de récupération d'accès et des fichiers de clés.
Pour certains modules complémentaires, avec l'aide d'utilisateurs fictifs, une note positive a été artificiellement maintenue et des critiques positives ont été publiées. Google a supprimé ces modules complémentaires du Chrome Web Store dans les 24 heures suivant la notification. La publication des premiers modules malveillants a commencé en février, mais le pic a eu lieu en mars (34.69 %) et avril (63.26 %).
La création de tous les modules complémentaires est associée à un groupe d'attaquants, qui a déployé 14 serveurs de contrôle pour gérer le code malveillant et collecter les données interceptées par les modules complémentaires. Tous les modules complémentaires utilisaient du code malveillant standard, mais les modules eux-mêmes étaient camouflés en produits différents, Ledger (57 % de modules complémentaires malveillants), MyEtherWallet (22 %), Trezor (8 %), Electrum (4 %), KeepKey (4 %), Jaxx (2 %), MetaMask et Exodus.
Lors de la configuration initiale du module complémentaire, les données ont été envoyées à un serveur externe et après un certain temps, les fonds ont été débités du portefeuille.
Source: opennet.ru