Google a supprimé 49 extensions Chrome malveillantes de sa boutique en ligne qui se présentaient comme des applications de portefeuille de crypto-monnaie mais volaient en fait des clés privées aux crypto-portefeuilles ainsi que la crypto-monnaie des utilisateurs.
Tel que rapporté par ZDNet, les extensions malveillantes ont été découvertes pour la première fois par le directeur de la sécurité de MyCrypto, Harry Denley, qui a partagé ses conclusions avec le média.
Selon Denley, les 49 extensions semblent avoir été créées par la même personne ou le même groupe de personnes qui, selon lui, est un acteur de la menace basé en Russie. De plus, toutes les extensions ont les mêmes fonctionnalités, mais leur image de marque change en fonction de qui elles ciblent.
Denley a pu identifier des extensions malveillantes usurpant l'identité de nombreuses personnes bien connues applications de portefeuille crypté, notamment Ledger, Trexor, Jaxx, Electrum, MyEtherWallet, MetaMask, Exodus et KeepKey.
Sommaire
Extensions malveillantes de portefeuille cryptographique
Les 49 extensions malveillantes fonctionnent presque de la même manière que les extensions légitimes, à l'exception du fait que toutes les données entrées par un utilisateur lors de leur configuration ont été envoyées aux serveurs de l'attaquant ou à un formulaire Google.
Alors que les attaquants disposent déjà de toutes les informations dont ils ont besoin pour commencer à voler la crypto-monnaie des utilisateurs, Denley a effectué un test dans lequel il a constaté que les fonds de son portefeuille cryptographique n'avaient pas été immédiatement volés. Il pense que cela est dû au fait que l'acteur de la menace est intéressé à ne voler que des cibles de haute valeur ou qu'il n'a pas compris comment automatiser l'opération et doit accéder manuellement à chaque compte.
Dans un post sur Moyen, MyCrypto a expliqué qu'il y a eu une augmentation des extensions malveillantes ciblant la crypto-monnaie au cours des derniers mois, déclarant:
"Une analyse de notre ensemble de données suggère que les extensions malveillantes ont commencé à frapper lentement le magasin en février 2020, ont augmenté les versions jusqu'en mars 2020, puis ont rapidement publié plus d'extensions en avril 2020. Cela signifie que notre détection s'améliore beaucoup ou que le le nombre d'extensions malveillantes frappant les magasins de navigateur pour cibler les utilisateurs de crypto-monnaie augmente de façon exponentielle. Une analyse de notre ensemble de données suggère que Ledger est la marque la plus ciblée – sans spéculer, il est difficile de dire pourquoi. "
Étant donné que l'acteur de la menace derrière ces extensions malveillantes n'a pas encore été détecté, ils pourraient probablement essayer de lancer un système similaire à l'avenir.
Via ZDNet