Firmy MyCrypto i PhishFort Katalog Chrome Web Store zawiera 49 złośliwych dodatków, które wysyłają klucze i hasła z portfeli kryptowalutowych do serwerów atakujących. Dodatki były dystrybuowane przy użyciu metod reklamy phishingowej i przedstawiane jako implementacje różnych portfeli kryptowalut. Dodatki opierały się na kodzie oficjalnych portfeli, ale zawierały złośliwe zmiany, które wysyłały klucze prywatne, kody odzyskiwania dostępu i pliki kluczy.
W przypadku niektórych dodatków, przy pomocy fikcyjnych użytkowników, sztucznie utrzymywano pozytywną ocenę i publikowano pozytywne recenzje. Firma Google usunęła te dodatki z Chrome Web Store w ciągu 24 godzin od powiadomienia. Publikacja pierwszych szkodliwych dodatków rozpoczęła się w lutym, ale szczyt nastąpił w marcu (34.69%) i kwietniu (63.26%).
Tworzenie wszystkich dodatków jest powiązane z jedną grupą atakujących, która wdrożyła 14 serwerów kontrolnych w celu zarządzania złośliwym kodem i zbierania danych przechwytywanych przez dodatki. Wszystkie dodatki wykorzystywały standardowy złośliwy kod, ale same dodatki były zakamuflowane jako różne produkty, Ledger (57% złośliwych dodatków), MyEtherWallet (22%), Trezor (8%), Electrum (4%), KeepKey (4%), Jaxx (2%), MetaMask i Exodus.
Podczas wstępnej konfiguracji dodatku dane zostały przesłane na serwer zewnętrzny i po pewnym czasie środki zostały pobrane z portfela.
Źródło: opennet.ru