MyCrypto- en PhishFort-bedrijven De Chrome Web Store-catalogus bevat 49 kwaadaardige add-ons die sleutels en wachtwoorden van crypto-wallets naar aanvallerservers sturen. De add-ons werden verspreid met behulp van phishing-advertentiemethoden en werden gepresenteerd als implementaties van verschillende cryptocurrency-wallets. De toevoegingen waren gebaseerd op de code van officiële portemonnees, maar bevatten kwaadaardige wijzigingen die privésleutels, toegang tot herstelcodes en sleutelbestanden stuurden.
Voor sommige add-ons werd met de hulp van fictieve gebruikers kunstmatig een positieve beoordeling gehandhaafd en werden positieve recensies gepubliceerd. Google heeft deze add-ons binnen 24 uur na melding uit de Chrome Web Store verwijderd. De publicatie van de eerste kwaadaardige add-ons begon in februari, maar de piek vond plaats in maart (34.69%) en april (63.26%).
De creatie van alle add-ons is gekoppeld aan één groep aanvallers, die veertien controleservers heeft ingezet om kwaadaardige code te beheren en gegevens te verzamelen die door add-ons zijn onderschept. Alle add-ons gebruikten standaard kwaadaardige code, maar de add-ons zelf waren gecamoufleerd als verschillende producten. Ledger (57% kwaadaardige add-ons), MyEtherWallet (22%), Trezor (8%), Electrum (4%), KeepKey (4%), Jaxx (2%), MetaMask en Exodus.
Tijdens de eerste installatie van de add-on werden de gegevens naar een externe server verzonden en na enige tijd werd het geld van de portemonnee afgeschreven.
Bron: opennet.ru