Категория > Новости > Из Chrome Web Store удалено 49 расширений. Они воровали данные криптовалютных кошельков - «Новости»
Из Chrome Web Store удалено 49 расширений. Они воровали данные криптовалютных кошельков - «Новости»15-04-2020, 12:01. Автор: MacDonald |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Из Chrome Web Store удалили почти пять десятков вредоносных расширений, имитировавших такие приложения криптовалютных кошельков, как Ledger, MyEtherWallet, Trezor, Electrum и так далее (список можно найти ниже). Все они похищали приватные ключи и мнемонические фразы пользователей. Вредоносные расширения обнаружил глава компании MyCrypto Гарри Денли. Он полагает, что все 49 расширений были созданы одним и тем же человеком или группировкой, которая, судя по всему, говорит на русском языке. Хотя расширения функционировали одинаково, их брендинг различался (в зависимости от того, на какого пользователя малварь была ориентирована). Так, исследователь «опознал» расширения, маскирующиеся под известные криптовалютные приложения, такие как Ledger, Trezor, Jaxx, Electrum, MyEtherWallet, MetaMask, Exodus и KeepKey. Все они работали почти так же, как их реальные аналоги, но любые данные, которые жертва вводила на этапах настройки, передавались на один из серверов злоумышленников или в Google Form. При этом кражи со счетов пользователей происходят не сразу. В ходе контролируемого эксперимента Денли ввел учетные данные тестовой учетной записи в одно из вредоносных расширений, но средства не были тут же украдены. Эксперт полагает, что злоумышленники заинтересованы в хищении средств только с «ценных» счетов, или же еще не придумали, как автоматизировать кражи, и пока получают доступ к каждой учетной записи вручную. Однако кражи все же случаются. Так, исследователю удалось связать несколько публично зарегистрированных инцидентов (1 , 2 , 3) с некоторыми из 49 вредоносных расширений. И хотя найденные специалистом расширения были удалены из каталога, Денли предупреждает, что стоящие за этой кампанией злоумышленники могут попросту создать новые. Пока Денли рекомендует пользователям подавать отчеты на CryptooveredDB, если они считают, что какое-то расширение может стать причиной взломов кошельков и потери средств. Такие отчеты помогают Денли и другим специалистами быстрее отследить малварь и добиться ее удаления.
Перейти обратно к новости |