Компания Google удалила 49 фишинговых расширений для своего веб-браузера Google Chrome после того получения сообщений о том, как они работают.
Директор по безопасности стартапа MyCrypto Гарри Денли в своём посте на Medium от 14 апреля рассказал, как эти расширения удалялись из магазина Chrome. По его словам, это заняло 24 часа, и пришлось прибегнуть к помощи компании по кибербезопасности PhishFort.
Среди удалённых расширений были те, которые нацеливались на аппаратные кошельки Ledger, Trezor и KeepKey, а также расширения, которые помогают воровать средства с программных кошельков Jaxx, MyEtherWallet, MetaMask, Exodus и Electrum.
Эти расширения заставляли пользователей криптовалют вводить такие необходимые данные для доступа к кошелькам, как мнемонические фразы, приватные ключи и файлы ключей.
У некоторых расширений были поддельные пятизвездочные рейтинги в магазине Chrome, хотя в отзывах ничего, кроме коротких восхваляющих фраз, не было. Однако у одного из расширений был один и тот же отзыв-копипаст, оставленный якобы 8-ю разными пользователями. Он объяснял, почему MyEtherWallet, с которым должно работать данное расширение Chrome, – это предпочтительный вариант для хранения криптомонет.
Изучив расширения, Денли пришёл к выводу, что за большинством из них стоят одни и те же злоумышленники.
Эти фишинговые компании пользовались как относительно старыми доменами, так и новыми, которые были зарегистрированы в марте и апреле 2020 года. Большинство расширений было опубликовано в магазине Chrome в апреле.
Следует отметить, что вредоносные расширения браузера Google Chrome, ворующие криптовалютные данные, обнаруживаются довольно часто.
Сайт Cointelegraph сообщил в конце марта, что один пользователь Reddit рассказал о том, как он потерял монеты после установки поддельного расширения Google Chrome для аппаратного кошелька Ledger.