MyCrypto og PhishFort selskaper Chrome Nettmarked-katalogen inneholder 49 ondsinnede tillegg som sender nøkler og passord fra kryptolommebøker til angriperservere. Tilleggene ble distribuert ved hjelp av phishing-annonseringsmetoder og ble presentert som implementeringer av ulike kryptovaluta-lommebøker. Tilleggene var basert på koden til offisielle lommebøker, men inkluderte ondsinnede endringer som sendte private nøkler, tilgangsgjenopprettingskoder og nøkkelfiler.
For noen tilleggsprogrammer, ved hjelp av fiktive brukere, ble en positiv vurdering kunstig opprettholdt og positive anmeldelser ble publisert. Google fjernet disse tilleggene fra Chrome Nettmarked innen 24 timer etter varsel. Publiseringen av de første ondsinnede tilleggene begynte i februar, men toppen skjedde i mars (34.69 %) og april (63.26 %).
Opprettelsen av alle tillegg er assosiert med en gruppe angripere, som distribuerte 14 kontrollservere for å administrere ondsinnet kode og samle inn data som fanges opp av tillegg. Alle tillegg brukte standard ondsinnet kode, men selve tilleggene ble kamuflert som forskjellige produkter, Ledger (57% ondsinnede tillegg), MyEtherWallet (22%), Trezor (8%), Electrum (4%), KeepKey (4%), Jaxx (2%), MetaMask og Exodus.
Under det første oppsettet av tillegget ble dataene sendt til en ekstern server, og etter en tid ble midlene trukket fra lommeboken.
Kilde: opennet.ru