Tvrtke MyCrypto i PhishFort Katalog Chrome web trgovine sadrži 49 zlonamjernih dodataka koji šalju ključeve i lozinke iz kripto novčanika poslužiteljima napadača. Dodaci su distribuirani korištenjem metoda phishing oglašavanja i predstavljeni su kao implementacije različitih novčanika za kriptovalute. Dodaci su se temeljili na kodu službenih novčanika, ali su uključivali zlonamjerne promjene koje su slale privatne ključeve, kodove za oporavak pristupa i datoteke ključeva.
Za neke dodatke se uz pomoć fiktivnih korisnika umjetno održavala pozitivna ocjena i objavljivale pozitivne recenzije. Google je uklonio te dodatke iz Chrome web-trgovine unutar 24 sata od obavijesti. Objavljivanje prvih malicioznih dodataka počelo je u veljači, no vrhunac se dogodio u ožujku (34.69%) i travnju (63.26%).
Stvaranje svih dodataka povezano je s jednom grupom napadača, koji su postavili 14 kontrolnih poslužitelja za upravljanje zlonamjernim kodom i prikupljanje podataka presretnutih dodacima. Svi su dodaci koristili standardni zlonamjerni kod, ali su sami dodaci bili zakamuflirani kao različiti proizvodi, Ledger (57% zlonamjernih dodataka), MyEtherWallet (22%), Trezor (8%), Electrum (4%), KeepKey (4%), Jaxx (2%), MetaMask i Exodus.
Tijekom početnog postavljanja dodatka, podaci su poslani na vanjski poslužitelj i nakon nekog vremena sredstva su terećena iz novčanika.
Izvor: opennet.ru