Perusahaan MyCrypto dan PhishFort Katalog Toko Web Chrome berisi 49 add-on berbahaya yang mengirimkan kunci dan kata sandi dari dompet kripto ke server penyerang. Add-on tersebut didistribusikan menggunakan metode periklanan phishing dan disajikan sebagai implementasi dari berbagai dompet mata uang kripto. Penambahan tersebut didasarkan pada kode dompet resmi, tetapi mencakup perubahan berbahaya yang mengirimkan kunci pribadi, kode pemulihan akses, dan file kunci.
Untuk beberapa add-on, dengan bantuan pengguna fiktif, peringkat positif dipertahankan secara artifisial dan ulasan positif dipublikasikan. Google menghapus add-on ini dari Toko Web Chrome dalam waktu 24 jam setelah pemberitahuan. Publikasi add-on jahat pertama dimulai pada bulan Februari, namun puncaknya terjadi pada bulan Maret (34.69%) dan April (63.26%).
Pembuatan semua add-on dikaitkan dengan satu kelompok penyerang, yang mengerahkan 14 server kontrol untuk mengelola kode berbahaya dan mengumpulkan data yang disadap oleh add-on. Semua add-on menggunakan kode berbahaya standar, namun add-on itu sendiri disamarkan sebagai produk yang berbeda, Ledger (57% add-on berbahaya), MyEtherWallet (22%), Trezor (8%), Electrum (4%), KeepKey (4%), Jaxx (2%), MetaMask dan Exodus.
Selama pengaturan awal add-on, data dikirim ke server eksternal dan setelah beberapa waktu dana didebit dari dompet.
Sumber: opennet.ru