Các công ty MyCrypto và PhishFort Danh mục Cửa hàng Chrome trực tuyến chứa 49 tiện ích bổ sung độc hại gửi khóa và mật khẩu từ ví tiền điện tử đến máy chủ của kẻ tấn công. Các tiện ích bổ sung được phân phối bằng các phương thức quảng cáo lừa đảo và được trình bày dưới dạng triển khai các ví tiền điện tử khác nhau. Các bổ sung này dựa trên mã của ví chính thức, nhưng bao gồm các thay đổi độc hại gửi khóa riêng, mã khôi phục truy cập và các tệp khóa.
Đối với một số tiện ích bổ sung, với sự trợ giúp của những người dùng hư cấu, xếp hạng tích cực được duy trì một cách giả tạo và các đánh giá tích cực đã được công bố. Google đã xóa các tiện ích bổ sung này khỏi Cửa hàng Chrome trực tuyến trong vòng 24 giờ kể từ khi thông báo. Việc xuất bản các tiện ích bổ sung độc hại đầu tiên bắt đầu vào tháng 34.69, nhưng đỉnh điểm xảy ra vào tháng 63.26 (XNUMX%) và tháng XNUMX (XNUMX%).
Việc tạo ra tất cả các tiện ích bổ sung có liên quan đến một nhóm kẻ tấn công đã triển khai 14 máy chủ kiểm soát để quản lý mã độc và thu thập dữ liệu bị chặn bởi các tiện ích bổ sung. Tất cả các tiện ích bổ sung đều sử dụng mã độc tiêu chuẩn, nhưng bản thân các tiện ích bổ sung này được ngụy trang thành các sản phẩm khác nhau, Ledger (57% tiện ích bổ sung độc hại), MyEtherWallet (22%), Trezor (8%), Electrum (4%), KeepKey (4%), Jaxx (2%), MetaMask và Exodus.
Trong quá trình thiết lập tiện ích bổ sung ban đầu, dữ liệu đã được gửi đến máy chủ bên ngoài và sau một thời gian, tiền sẽ bị ghi nợ từ ví.
Nguồn: opennet.ru