Empresas MyCrypto e PhishFort O catálogo da Chrome Web Store contém 49 complementos maliciosos que enviam chaves e senhas de carteiras criptografadas para servidores invasores. Os complementos foram distribuídos usando métodos de publicidade de phishing e apresentados como implementações de várias carteiras de criptomoedas. As adições foram baseadas no código das carteiras oficiais, mas incluíram alterações maliciosas que enviavam chaves privadas, códigos de recuperação de acesso e arquivos de chaves.
Para alguns complementos, com a ajuda de usuários fictícios, uma avaliação positiva foi mantida artificialmente e avaliações positivas foram publicadas. O Google removeu esses complementos da Chrome Web Store 24 horas após a notificação. A publicação dos primeiros add-ons maliciosos começou em fevereiro, mas o pico ocorreu em março (34.69%) e abril (63.26%).
A criação de todos os add-ons está associada a um grupo de invasores, que implantou 14 servidores de controle para gerenciar códigos maliciosos e coletar dados interceptados por add-ons. Todos os complementos usavam código malicioso padrão, mas os próprios complementos eram camuflados como produtos diferentes, Ledger (57% de complementos maliciosos), MyEtherWallet (22%), Trezor (8%), Electrum (4%), KeepKey (4%), Jaxx (2%), MetaMask e Exodus.
Durante a configuração inicial do add-on, os dados foram enviados para um servidor externo e após algum tempo os fundos foram debitados da carteira.
Fonte: opennet.ru