Компанії MyCrypto та PhishFort у каталозі Chrome Web Store 49 шкідливих доповнень, що відправляють ключі та паролі від криптогаманців на сервери зловмисників. Доповнення поширювалися з використанням методів фішингової реклами та подавалися як реалізації різних гаманців криптовалют. Додатки були засновані на коді офіційних гаманців, але включали шкідливі зміни, що виконують надсилання закритих ключів, кодів відновлення доступу та файлів із ключами.
Для деяких доповнень за допомогою фіктивних користувачів штучно підтримувався позитивний рейтинг та публікувалися позитивні відгуки. Компанія Google видаляла ці додатки з каталогу Chrome Web Store протягом 24 годин після повідомлення. Публікація перших шкідливих доповнень розпочалася у лютому, але пік припав на березень (34.69%) та квітень (63.26%).
Створення всіх доповнень пов'язується з однією групою атакуючих, що розгорнула 14 керуючих серверів для управління шкідливим кодом і збору даних, що перехоплюються доповненнями. У всіх доповненнях використовувався типовий шкідливий код, але самі доповнення камуфлювали під різні продукти, Ledger (57% шкідливих доповнень), MyEtherWallet (22%), Trezor (8%), Electrum (4%), KeepKey (4%), Jaxx (2%), MetaMask та Exodus.
У процесі початкового налаштування доповнення дані надсилалися на зовнішній сервер і через якийсь час з гаманця списувалися кошти.
Джерело: opennet.ru