Società MyCrypto e PhishFort Il catalogo del Chrome Web Store contiene 49 componenti aggiuntivi dannosi che inviano chiavi e password dai portafogli crittografici ai server degli aggressori. I componenti aggiuntivi venivano distribuiti utilizzando metodi pubblicitari di phishing e venivano presentati come implementazioni di vari portafogli di criptovaluta. Le aggiunte erano basate sul codice dei portafogli ufficiali, ma includevano modifiche dannose che inviavano chiavi private, codici di ripristino di accesso e file chiave.
Per alcuni componenti aggiuntivi, con l'aiuto di utenti fittizi, è stata mantenuta artificialmente una valutazione positiva e sono state pubblicate recensioni positive. Google ha rimosso questi componenti aggiuntivi dal Chrome Web Store entro 24 ore dalla notifica. La pubblicazione dei primi add-on dannosi è iniziata a febbraio, ma il picco si è verificato a marzo (34.69%) e aprile (63.26%).
La creazione di tutti i componenti aggiuntivi è associata a un gruppo di aggressori, che ha utilizzato 14 server di controllo per gestire il codice dannoso e raccogliere i dati intercettati dai componenti aggiuntivi. Tutti i componenti aggiuntivi utilizzavano codice dannoso standard, ma i componenti aggiuntivi stessi erano mascherati da prodotti diversi, Ledger (57% componenti aggiuntivi dannosi), MyEtherWallet (22%), Trezor (8%), Electrum (4%), KeepKey (4%), Jaxx (2%), MetaMask ed Exodus.
Durante la configurazione iniziale del componente aggiuntivo, i dati venivano inviati a un server esterno e dopo qualche tempo i fondi venivano addebitati sul portafoglio.
Fonte: opennet.ru