Empresas MyCrypto e PhishFort O catálogo de Chrome Web Store contén 49 complementos maliciosos que envían claves e contrasinais desde carteiras criptográficas aos servidores dos atacantes. Os complementos distribuíronse mediante métodos de publicidade de phishing e presentáronse como implementacións de varias carteiras de criptomonedas. As adicións baseáronse no código das carteiras oficiais, pero incluían cambios maliciosos que enviaban claves privadas, códigos de recuperación de acceso e ficheiros de claves.
Para algúns complementos, coa axuda de usuarios ficticios, mantívose artificialmente unha valoración positiva e publicáronse críticas positivas. Google eliminou estes complementos da Chrome Web Store nun prazo de 24 horas desde a notificación. A publicación dos primeiros complementos maliciosos comezou en febreiro, pero o pico produciuse en marzo (34.69%) e abril (63.26%).
A creación de todos os complementos está asociada a un grupo de atacantes, que despregou 14 servidores de control para xestionar código malicioso e recompilar datos interceptados polos complementos. Todos os complementos usaron código malicioso estándar, pero os complementos en si foron camuflados como produtos diferentes. Ledger (57% complementos maliciosos), MyEtherWallet (22%), Trezor (8%), Electrum (4%), KeepKey (4%), Jaxx (2%), MetaMask e Exodus.
Durante a configuración inicial do complemento, os datos enviáronse a un servidor externo e despois dun tempo os fondos debitáronse da carteira.
Fonte: opennet.ru