O Google retirou 49 extensões do navegador Chrome de sua Web Store, que se disfarçavam como carteiras de criptomoedas, mas continham códigos maliciosos para desviar informações confidenciais e esvaziar as moedas digitais.
Os 49 complementos de navegador, potencialmente o trabalho de atores de ameaças russos, foram identificados (encontre a lista aqui) por pesquisadores do MyCrypto e PhishFort.
“Essencialmente, as extensões buscam segredos – frases mnemônicas , chaves privadas e arquivos de armazenamento de chaves”, explicou Harry Denley, diretor de segurança da MyCrypto. “Depois que o usuário os insere, a extensão envia uma solicitação HTTP POST para seu back-end, onde os maus atores recebem os segredos e esvaziam as contas.”
Embora as extensões ofensivas tenham sido removidas dentro de 24 horas após serem denunciadas ao Google, a análise do MyCrypto mostrou que elas começaram a aparecer na Web Store desde fevereiro de 2020, antes de aumentar nos meses subsequentes.
Além disso, todas as extensões funcionaram da mesma forma, a única diferença foram as marcas de carteira de criptomoeda que foram impactadas – como Ledger, Trezor, Jaxx, Electrum, MyEtherWallet, MetaMask, Exodus e KeepKey – através de 14 comandos e controle exclusivos (C2 ) servidores que receberam os dados de phishing.
Por exemplo, o MEW CX, o complemento malicioso direcionado ao MyEtherWallet, foi encontrado capturando as frases-semente e transmitindo-as para um servidor controlado pelo invasor com a intenção de drenar a carteira de fundos digitais da vítima.
No entanto, os fundos não foram roubados de todas as contas dessa maneira.
Os pesquisadores teorizam que isso pode ocorrer porque os criminosos buscam apenas contas de alto valor ou que precisam varrer manualmente as contas.
Algumas das extensões, disse Denley, vêm com críticas falsas de cinco estrelas, aumentando assim as chances de um usuário inocente fazer o download.
“Havia também uma rede de usuários vigilantes que escreviam críticas legítimas sobre as extensões serem maliciosas – no entanto, é difícil dizer se elas foram vítimas dos próprios esquemas de phishing ou apenas ajudando a comunidade a não fazer o download”, acrescentou Denley.
As extensões de roubo de dados têm ocorrido regularmente na Chrome Web Store, levando o Google a eliminá-las assim que são descobertas.
Em fevereiro, a empresa removeu 500 extensões maliciosas depois que foram flagradas servindo adware e enviando a atividade de navegação dos usuários para servidores C2, sob o controle de atacantes.