компаније МиЦрипто и ПхисхФорт Каталог Цхроме веб продавнице садржи 49 злонамерних додатака који шаљу кључеве и лозинке из крипто новчаника серверима нападача. Додаци су дистрибуирани коришћењем метода пхисхинг рекламирања и представљени су као имплементације различитих новчаника за криптовалуте. Додаци су били засновани на коду званичних новчаника, али су укључивали злонамерне промене које су слале приватне кључеве, приступне кодове за опоравак и датотеке кључева.
За неке додатке, уз помоћ фиктивних корисника, вештачки је одржавана позитивна оцена и објављиване позитивне критике. Гоогле је уклонио ове додатке из Цхроме веб продавнице у року од 24 сата од обавештења. Објављивање првих злонамерних додатака почело је у фебруару, али је врхунац био у марту (34.69%) и априлу (63.26%).
Креирање свих додатака је повезано са једном групом нападача, која је поставила 14 контролних сервера за управљање злонамерним кодом и прикупљање података које су додаци пресрели. Сви додаци су користили стандардни злонамерни код, али су сами додаци били камуфлирани као различити производи, Ледгер (57% злонамерних додатака), МиЕтхерВаллет (22%), Трезор (8%), Елецтрум (4%), КеепКеи (4%), Јакк (2%), МетаМаск и Екодус.
Током почетног подешавања додатка, подаци су послати на екстерни сервер и након неког времена средства су терећена из новчаника.
Извор: опеннет.ру