Функционал расширений соответствует настоящим приложениям, но данные пользователей отправляются злоумышленнику.
Компания Google удалила из Chrome Web Store 49 вредоносных расширений, выдаваемых злоумышленниками за легитимные криптовалютные кошельки. Расширения похищают ключи от криптовалютных кошельков, мнемонические фразы и другую конфиденциальную информацию.
Вредоносные расширения обнаружил директор по безопасности MyCrypto Гарри Денли (Harry Denley). Все они были загружены в Web Store одним и тем же лицом/группой лиц. По словам Денли, расширения работают одинаково и отличаются только брендом. В частности, исследователь обнаружил плагины, выдаваемые злоумышленником за криптовалютные кошельки Ledger, Trezor, Jaxx, Electrum, MyEtherWallet, MetaMask, Exodus и KeepKey. Их функционал почти полностью соответствует функционалу настоящих приложений, однако все данные, вводимые пользователем в процессе настройки, отправляются либо на подконтрольные злоумышленнику серверы, либо в Google Формы.
Как отметил Денли, хищение средств из кошельков происходит не сразу. В качестве эксперимента исследователь установил вредоносное расширение и ввел данные тестовой учетной записи, однако деньги из кошелька похищены не были. Как пояснил Денли, скорее всего, преступник заинтересован в хищении средств из кошельков «богатых» пользователей. Другое объяснение – ему пока не удалось автоматизировать атаки и приходится переводить средства вручную.
Сразу или не нет, но хищения происходят. Денли обнаружил в Сети целый ряд жалоб от пользователей на то, что некоторые из 49 проанализированных им расширений похищают криптовалюту из кошельков. Хотя эти расширения были удалены из Web Store, Денли ожидает появления новых, так как их автор все еще не пойман.