Mga kumpanyang MyCrypto at PhishFort Naglalaman ang catalog ng Chrome Web Store ng 49 na nakakahamak na add-on na nagpapadala ng mga key at password mula sa mga crypto wallet patungo sa mga server ng attacker. Ang mga add-on ay ipinamahagi gamit ang mga paraan ng phishing advertising at ipinakita bilang mga pagpapatupad ng iba't ibang mga wallet ng cryptocurrency. Ang mga karagdagan ay batay sa code ng mga opisyal na wallet, ngunit kasama ang mga nakakahamak na pagbabago na nagpadala ng mga pribadong key, access recovery code, at mga pangunahing file.
Para sa ilang mga add-on, sa tulong ng mga fictitious na user, artipisyal na napanatili ang isang positibong rating at nai-publish ang mga positibong review. Inalis ng Google ang mga add-on na ito sa Chrome Web Store sa loob ng 24 na oras pagkatapos ng notification. Ang paglalathala ng mga unang nakakahamak na add-on ay nagsimula noong Pebrero, ngunit ang pinakamataas ay naganap noong Marso (34.69%) at Abril (63.26%).
Ang paggawa ng lahat ng mga add-on ay nauugnay sa isang pangkat ng mga umaatake, na nag-deploy ng 14 na control server upang pamahalaan ang malisyosong code at mangolekta ng data na naharang ng mga add-on. Gumamit ang lahat ng mga add-on ng karaniwang malisyosong code, ngunit ang mga add-on mismo ay na-camouflaged bilang iba't ibang mga produkto, Ledger (57% malisyosong add-on), MyEtherWallet (22%), Trezor (8%), Electrum (4%), KeepKey (4%), Jaxx (2%), MetaMask at Exodus.
Sa panahon ng paunang pag-setup ng add-on, ang data ay ipinadala sa isang panlabas na server at pagkaraan ng ilang oras ang mga pondo ay na-debit mula sa wallet.
Pinagmulan: opennet.ru