imageФото: medium.com

Из магазина Google Chrome на этой неделе было удалено 49 расширений, которые позволяли украсть личные данные пользователей криптовалютных кошельков. На эти расширения обратил внимание руководитель отдела безопасности платформы MyCrypto Гарри Денли.

Расширения представляли опасность для владельцев кошельков Ledger, MyEtherWallet, Trezor, Electrum и других. В магазине они преподносились как легитимные криптовалютные приложения. При этом вредоносный код расширений позволял злоумышленникам красть ключи от кошельков.

По наблюдениям Денли, принцип работы всех вредоносов примерно одинаков, что говорит о том, что их могла создать одна и та же команда или человек. После того, как пользователь вводит данные, расширение отправляло HTTP-запрос POST на свой бэкэнд.

На этом видео исследователь показывает работу с расширением MEW CW (MyEtherWallet):


Несмотря на то, что все данные пользователя при его работе с приложением моментально отправлялись на подконтрольные хакерам серверы, кража средств происходила не сразу. Денли сделал вывод, что либо злоумышленники в первую очередь воровали валюту с наиболее ценных кошельков, либо они не смогли автоматизировать процесс работы расширений и проделывали все операции вручную.

По словам Денли, некоторые из командно-контрольных серверов были устаревшими, но 80% из них связаны с доменами, зарегистрированными в марте или в апреле. Вот их полный список:

  • analytics-server296.xyz
  • coinomibeta.online
  • completssl.com
  • cxext.org
  • ledger.productions
  • ledgerwallet.xyz
  • mecxanalytic.co
  • networkforworking.com
  • trxsecuredapi.co
  • usermetrica.org
  • walletbalance.org
  • ledgers.tech
  • vh368451.eurodir.ru
  • xrpclaim.net

Самый старый домен ledger.productions имеет наибольшее количество «соединений» с другими серверами. Сами вредоносные расширения начали появляться в феврале, а в марте и апреле их число росло вплоть до момента удаления.

Некоторые пользователи ранее пытались предупредить остальных о том, что расширения были вредоносными. Однако у многих из этих приложений в магазине Google Chrome был пятизвездочный рейтинг.

В центре внимания злоумышленников был Ledger (57% вредоносных расширений), за ним следовали MyEtherWallet (22%), Trezor (8%), Electrum (4%), KeepKey (4%) и Jaxx (2%).

По мнению автора исследования, пользователям подобного рода расширений нужно быть осторожными, поскольку авторы вредоносных приложений могут снова попытаться проникнуть в магазин Google Chrome. Денли советует создать отдельного пользователя браузера исключительно для работы с криптовалютой, чтобы ограничить область действия любой атаки.

В январе стало известно, что расширение для Google Chrome под названием Shitcoin Wallet внедряет в веб-страницы JavaScript-код, который позволяет воровать пароли и закрытые ключи от криптовалютных кошельков и сервисов. Сами разработчики утверждали, что расширение дает возможность управлять цифровой валютой Ether прямо из браузера. Однако, когда пользователь посещал сайты известных сервисов для управления криптовалютой, код воровал его учетные данные и закрытые ключи и передавал их стороннему ресурсу.
См. также: