MyCrypto och PhishFort företag Chrome Web Store-katalogen innehåller 49 skadliga tillägg som skickar nycklar och lösenord från kryptoplånböcker till angriparservrar. Tilläggen distribuerades med metoder för nätfiskeannonsering och presenterades som implementeringar av olika kryptovaluta-plånböcker. Tilläggen baserades på koden för officiella plånböcker, men inkluderade skadliga ändringar som skickade privata nycklar, åtkomståterställningskoder och nyckelfiler.
För vissa tillägg, med hjälp av fiktiva användare, upprätthölls ett positivt betyg på konstgjord väg och positiva recensioner publicerades. Google tog bort dessa tillägg från Chrome Web Store inom 24 timmar efter meddelandet. Publiceringen av de första skadliga tilläggen började i februari, men toppen inträffade i mars (34.69 %) och april (63.26 %).
Skapandet av alla tillägg är associerat med en grupp angripare, som distribuerade 14 kontrollservrar för att hantera skadlig kod och samla in data som fångas upp av tillägg. Alla tillägg använde skadlig standardkod, men själva tilläggen kamouflerades som olika produkter, Ledger (57% skadliga tillägg), MyEtherWallet (22%), Trezor (8%), Electrum (4%), KeepKey (4%), Jaxx (2%), MetaMask och Exodus.
Under den initiala installationen av tillägget skickades data till en extern server och efter en tid debiterades pengarna från plånboken.
Källa: opennet.ru