Companiile MyCrypto și PhishFort Catalogul Magazinului web Chrome conține 49 de suplimente rău intenționate care trimit chei și parole din portofele criptografice către serverele atacatorilor. Suplimentele au fost distribuite folosind metode de publicitate phishing și au fost prezentate ca implementări ale diferitelor portofele criptomonede. Adăugările s-au bazat pe codul portofelelor oficiale, dar au inclus modificări rău intenționate care au trimis chei private, coduri de recuperare de acces și fișiere cheie.
Pentru unele suplimente, cu ajutorul utilizatorilor fictivi, un rating pozitiv a fost menținut în mod artificial și au fost publicate recenzii pozitive. Google a eliminat aceste suplimente din Magazinul web Chrome în 24 de ore de la notificare. Publicarea primelor suplimente rău intenționate a început în februarie, dar vârful a avut loc în martie (34.69%) și aprilie (63.26%).
Crearea tuturor suplimentelor este asociată cu un grup de atacatori, care a implementat 14 servere de control pentru a gestiona codul rău intenționat și a colecta date interceptate de suplimente. Toate suplimentele au folosit cod rău intenționat standard, dar suplimentele în sine au fost camuflate ca produse diferite, Ledger (57% suplimente rău intenționate), MyEtherWallet (22%), Trezor (8%), Electrum (4%), KeepKey (4%), Jaxx (2%), MetaMask și Exodus.
În timpul configurării inițiale a suplimentului, datele au fost trimise către un server extern și după un timp fondurile au fost debitate din portofel.
Sursa: opennet.ru