Google видалив з інтернет-магазину для браузера Chrome 49 розширень. Ці програми поширювалися під виглядом утиліт для роботи з криптовалютными гаманцями, але містили шкідливий код.
Директор і дослідник з безпеки платформи MyCrypto Гаррі Денли (Harry Denley), який виявив ці розширення, вважає, що всі вони були створені однією людиною або групою, ймовірно, з Росії.
«Всі представлені розширення функціонують однаково, відрізняються вони лише тим, що орієнтовані на різні категорії користувачів», – повідомив Денли.
Всі 49 розширень поширювалися під виглядом офіційних утиліт для роботи з криптовалютными гаманцями KeepKey, Ledger, Exodus, Trezor, MetaMask, Jaxx, MyEtherWallet, Electrum. Вони вміло копіювали інтерфейс цих розширень і функціонували майже ідентично. Але дані, введені користувачем, у тому числі закриті ключі і мнемонічні фрази, відправлялися зловмисникам.
Денли вирішив провести експеримент і ввів в одному з шахрайських розширень дані свого тестового гаманця. В результаті він з’ясував, що кошти з гаманців зникають не одразу:
«Ймовірно, зловмисники вичікують, поки на гаманці не виявиться більш значна сума, або вони поки що не змогли автоматизувати процес і їм доводиться спустошувати гаманці в ручному режимі».
Дослідник вказав на три публічних випадку (1, 2, 3) крадіжки криптовалют, де, на його думку, користувачі стали жертвами цих 49 розширень. Він заявив, що зловмисники напевно спробують знову додати шкідливі розширення в інтернет-магазин Chrome.
Денли закликав користувачів повідомляти про будь-які підозрілі розширення, які можуть стати причиною злому гаманця, через сайт CryptooveredDB. Це допоможе швидше відстежити шкідливі розширення і видалити їх.
Thanks!
Our editors are notified.