MyCrypto un PhishFort uzņēmumi Chrome interneta veikala katalogā ir 49 ļaunprātīgi papildinājumi, kas sūta atslēgas un paroles no šifrēšanas makiem uz uzbrucēju serveriem. Papildinājumi tika izplatīti, izmantojot pikšķerēšanas reklāmas metodes, un tika prezentēti kā dažādu kriptovalūtu maku implementācijas. Papildinājumi tika balstīti uz oficiālo maku kodu, taču tie ietvēra ļaunprātīgas izmaiņas, kas nosūtīja privātās atslēgas, piekļuves atkopšanas kodus un atslēgu failus.
Dažiem papildinājumiem ar fiktīvu lietotāju palīdzību tika mākslīgi saglabāts pozitīvs vērtējums un publicētas pozitīvas atsauksmes. Google noņēma šos papildinājumus no Chrome interneta veikala 24 stundu laikā pēc paziņojuma saņemšanas. Pirmo ļaunprātīgo papildinājumu publicēšana sākās februārī, bet maksimums bija martā (34.69%) un aprīlī (63.26%).
Visu papildinājumu izveide ir saistīta ar vienu uzbrucēju grupu, kas izvietoja 14 kontroles serverus, lai pārvaldītu ļaunprātīgu kodu un apkopotu papildinājumu pārtvertos datus. Visi papildinājumi izmantoja standarta ļaunprātīgu kodu, bet paši papildinājumi tika maskēti kā dažādi produkti, Ledger (57% ļaunprātīgu papildinājumu), MyEtherWallet (22%), Trezor (8%), Electrum (4%), KeepKey (4%), Jaxx (2%), MetaMask un Exodus.
Sākotnējās pievienojumprogrammas iestatīšanas laikā dati tika nosūtīti uz ārēju serveri, un pēc kāda laika līdzekļi tika norakstīti no maka.
Avots: opennet.ru