Google удалил 49 расширений для браузера Chrome со своей витрины. Эти расширения позиционировались как полноценные утилиты для работы с криптовалютными кошельками, но в действительности содержали вредоносный код для кражи приватных ключей, мнемонических фраз и других данных пользователя, пишет ZDNet со ссылкой на исследователя проблем безопасности Гарри Денли.
По словам Денли, все 49 расширений были созданы одним человеком или группой, предположительно, из России. «Функциональность всех расширений одинакова. Различается только брендинг в зависимости от того, на каких пользователей они ориентировались», – сообщил он.
Указанные расширения распространялись под видом официального программного обеспечения для работы с такими кошельками, как Ledger, Trezor, Jaxx, Electrum, MyEtherWallet, MetaMask, Exodus, и KeepKey. Они функционировали «почти идентично настоящим», но все введённые пользователем данные оказывались в распоряжении злоумышленников на отдельных серверах или в Google Form.
Пример рекламы вредоносного расширения Изображение: Гарри Денли
Кража активов происходила не сразу. Денли провёл эксперимент, в ходе которого ввёл данные своего тестового аккаунта в расширение и в течение некоторого времени сохранял контроль на внесёнными активами. По его мнению, злоумышленники заинтересованы только в крупных счетах или пока не разобрались, как автоматизировать процесс вывода средств.
Исследователь указал по крайней мере на три публично известных случая, когда для кражи крипто-активов использовались, как он думает, эти расширения. Ожидается, что в ближайшее время злоумышленники могут снова начать распространять в сети своё вредоносное ПО.
