MyCrypto és PhishFort cégek A Chrome Internetes áruház katalógusa 49 rosszindulatú bővítményt tartalmaz, amelyek kulcsokat és jelszavakat küldenek a kriptográfiai pénztárcákból a támadószervereknek. A kiegészítőket adathalász hirdetési módszerekkel terjesztették, és különféle kriptovaluta pénztárcák megvalósításaként mutatták be. A kiegészítések a hivatalos pénztárcák kódján alapultak, de tartalmaztak rosszindulatú változtatásokat, amelyek privát kulcsokat, hozzáférési helyreállítási kódokat és kulcsfájlokat küldtek.
Egyes kiegészítők esetében fiktív felhasználók segítségével mesterségesen fenntartották a pozitív értékelést, és pozitív értékeléseket tettek közzé. A Google az értesítést követő 24 órán belül eltávolította ezeket a bővítményeket a Chrome Internetes áruházból. Az első rosszindulatú kiegészítők közzététele februárban kezdődött, de a csúcsot márciusban (34.69%) és áprilisban (63.26%) érte el.
Az összes bővítmény létrehozása a támadók egy csoportjához kapcsolódik, amely 14 vezérlőkiszolgálót telepített a rosszindulatú kódok kezelésére és a bővítmények által elfogott adatok összegyűjtésére. Minden kiegészítő szabványos rosszindulatú kódot használt, de magukat a kiegészítőket különböző termékekként álcázták, Ledger (57% rosszindulatú kiegészítők), MyEtherWallet (22%), Trezor (8%), Electrum (4%), KeepKey (4%), Jaxx (2%), MetaMask és Exodus.
A bővítmény kezdeti beállítása során az adatokat egy külső szerverre küldték, majd egy idő után az összeget levonták a pénztárcáról.
Forrás: opennet.ru