Вредоносное расширение для браузера Google Chrome, направленное на кражу криптовалютных активов пользователей, было скачано как минимум 230 раз, прежде чем поисковой гигант обнаружил и удалил его. Об этом рассказал исследователь проблем кибербезопасности Гарри Денли в своём блоге.
По словам Денли, злоумышленники разослали ERC20-токен Huobi Airdrop на случайные Ethereum-адреса с предложением перейти на страницу, якобы созданную биржей Huobi для проведения эирдропа.
При переходе на сайт пользователь получал уведомление, позиционировавшееся как встроенная функция Chrome, в котором ему предлагали скачать расширение под названием «NoCoin — Block Coin Miners» для борьбы со скрытым майнингом.
Если в браузере было активировано расширение MetaMask, отображалось другое уведомление, имитировавшее стандартную защиту MetaMask от вредоносных сайтов, но содержавшее ссылку на то же расширение, которую оригинальный кошелёк не предоставляет.
«Изначально касалось, что расширение делает то, что и должно – оно обнаружило несколько CryptoJacking-скриптов. У расширения был привлекательный интерфейс, в котором оно сообщало о выполненной работе», – пишет исследователь.
Что расширение не сообщало, так это то, что оно способно воровать данные пользователей кошельков MyEtherWallet (MEW) и Blockchain.com, которые затем передавались злоумышленникам.
Как долго вредоносное расширение было доступно для пользователей Chrome и какими оказались масштабы ущерба от действий злоумышленников, неизвестно.