Google недавно удалила 49 фишинговых расширений веб-браузера Google Chrome, после получения отчетов об их активности.
Гарри Денли, директор по безопасности, при запуске криптовалютного кошелька MyCrypto, в своем посте Medium объяснил, как он удалял расширения из магазина Chrome, в течение 24 часов, с помощью специализированной в области фишинга фирмы по кибербезопасности PhishFort.
Удаленные расширения включают расширения, предназначенные для владельцев аппаратных кошельков, производимых Ledger, Trezor и KeepKey, а также для пользователей программных кошельков Jaxx, MyEtherWallet, Metamask, Exodus и Electrum.
Расширения заставляли пользователей ввести учетные данные, необходимые для доступа к кошельку, такие как мнемонические фразы, закрытые ключи и файлы хранилища ключей и отправляли их "взломщикам". Затем хакеры могли украсть криптографические активы, содержащиеся в кошельках.
Некоторые из расширений также имели поддельные пятизвездочные рейтинги в магазине расширений Chrome, но в обзорах содержалось мало информации, от «хорошего», «полезного приложения» до «законного расширения».
По сообщениям, на одном из расширений один и тот же отзыв копировался разными пользователями восемь раз. Копипаст включал введение в Биткоин ( BTC ) и объяснял, почему MyEtherWallet - целевой кошелек расширения - был предпочтительным вариантом кошелька. Стоит отметить, что MyEtherWallet на самом деле не поддерживает биткоины.
Один хакер контролировал большинство расширений
Расследование выявило 14 управляющих серверов за всеми расширениями, но анализ отпечатков данных показал, что некоторые серверы управлялись одними и теми же участниками, причем самый старый домен был связан со многими другими управляющими серверами. Впоследствии Денли пришел к выводу, что за большинством расширений стоят одни и те же люди.
Некоторые из доменов, использованных в фишинговых кампаниях, были относительно старыми, но 80% из них были зарегистрированы в марте и апреле 2020 года. Большинство расширений были опубликованы в магазине Chrome в этом месяце.
Не первые фишинговые расширения, нацеленные на пользователей крипто
Это не первый случай, когда сообщество обнаруживает вредоносное расширение браузера Google Chrome, предназначенное для крипто-пользователей. Как Cointelegraph сообщил в конце марта, Redditor предупредил сообщество, что он потерял некоторые крипто-активы после того, как стал жертвой поддельного расширения Ledger.
Расширения Google Chrome, предназначенные для криптографических пользователей, настолько распространены, что ранее в этом месяце MyEtherWallet предупредил своего пользователя, что его официальное расширение было удалено из-за якобы содержащего вредоносное ПО. К счастью, расширение было восстановлено вскоре после того, как команда связалась с Google, чтобы решить проблему.