Компании MyCrypto и PhishFort выявили в каталоге Chrome Web Store 49 вредоносных дополнений, отправляющих ключи и пароли от криптокошельков на серверы злоумышленников. Дополнения распространялись с использованием методов фишинговой рекламы и преподносились как реализации различных кошельков криптовалют. Дополнения были основаны на коде официальных кошельков, но включали вредоносные изменения, выполняющие отправку закрытых ключей, кодов восстановления доступа и файлов с ключами.

Для некоторых дополнений при помощи фиктивных пользователей искусственно поддерживался положительный рейтинг и публиковались положительные отзывы. Компания Google удалила указанные дополнения из каталога Chrome Web Store в течение 24 часов после уведомления. Публикация первых вредоносных дополнений началась в феврале, но пик пришёлся на март (34.69%) и апрель (63.26%).

Создание всех дополнений связывается с одной группой атакующих, развернувшей 14 управляющих серверов для управления вредоносным кодом и сбора перехватываемых дополнениями данных. Во всех дополнениях использовался типовой вредоносный код, но сами дополнения камуфлировались по разные продукты, включая Ledger (57% вредоносных дополнений), MyEtherWallet (22%), Trezor (8%), Electrum (4%), KeepKey (4%), Jaxx (2%), MetaMask и Exodus. В процессе настройки дополнения данные отправлялись на внешний сервер и через какое-то время с кошелька списывались средства.

Источник: http://www.opennet.ru/opennews/art.shtml?num=52740