MyCrypto e PhishFort A Chrome Web Store contém 49 extensões maliciosas que enviam chaves e senhas de carteiras de criptomoedas para servidores de atacantes. As extensões foram distribuídas usando técnicas de phishing e apresentadas como implementações de diversas carteiras de criptomoedas. Elas eram baseadas no código de carteiras oficiais, mas incluíam modificações maliciosas que enviavam chaves privadas, códigos de recuperação e arquivos de chave.
Algumas extensões foram avaliadas artificialmente e publicadas com avaliações positivas usando usuários falsos. O Google removeu essas extensões da Chrome Web Store em até 24 horas após a notificação. As primeiras extensões maliciosas foram publicadas em fevereiro, mas atingiram o pico em março (34.69%) e abril (63.26%).
A criação de todos os complementos está ligada a um único grupo de ataque, que implantou 14 servidores de comando e controle para gerenciar o código malicioso e coletar os dados interceptados pelos complementos. Todos os complementos utilizavam código malicioso padrão, mas os próprios complementos estavam disfarçados de produtos diferentes. Ledger (57% dos complementos maliciosos), MyEtherWallet (22%), Trezor (8%), Electrum (4%), KeepKey (4%), Jaxx (2%), MetaMask e Exodus.
Durante a configuração inicial do complemento, os dados foram enviados para um servidor externo e, após algum tempo, os fundos foram debitados da carteira.
Fonte: opennet.ru
