Óvatosan! 49 Chrome böngészőbővítmény lopja a bitcoinod

A Google 49 darab Chrome böngészőbővítményt törölt az alkalmazásboltjából mivel azok kriptovaluta tárcának álcázva a háttérben érzékeny információkat gyűjtöttek a felhasználóikról, illetve lopták el a privát hozzáféréseiket digitális vagyonaikhoz.

A 49 böngészőbővítmény potenciálisan orosz hackercsoportokhoz köthető, jelentették a MyCrypto és PhishFort nevű szervezet.

„Lényegében a bővítmények privát kulcsok halászatát végezték — mnemonikus kifejezések, privát kulcsok és keystore fájlokét,” magyarázta Harry Denley, MyCrypto biztonsági szakértője. „Amint egy felhasználó megadta azokat, a bővítmény kiküldött egy HTTP POST kérést a szervernek, ahol a támadók is láthatják a hozzáféréseket és kiüríthetik a tárcát.”

Ugyan a kártékony bővítményeket 24 órán belül leszedték miután jelentették azokat, de a MyCrypto kutatása szerint már február elején is fenn voltak az alkalmazásboltban.

A tárcák a felszínen ugyanúgy működtek, mint a normális kriptovaluta tárcák (ismertebbek: Green Wallet, Ledger, Trezor, Jaxx, Electrum, MyEtherWallet, MetaMask, Exodus és KeepKey) azzal a különbséggel, hogy 14 egyedi command-and-control (C2) szerverre jutottak a felhasználók adatai.

Egyik ilyen bővítmény a MEW CX volt, ami direkt a MyEtherWallet tárcákra repült rá, és amennyiben valaki a hamis tárcában megadta a seed kifejezését elküldve a támadó által ellenőrzött szerverre, akkor a hackerek kiürítették az eredeti MyEtherWallet tárcát.

Nem minden esetben történt így a lopás. Voltak olyan tárcák, amiket megkíméltek, mert a támadók elsősorban a vagyonosabb tárcákra repültek rá vagy, mert nem volt automatizált a tárcák kiürítése. Bizonyos tárcákat még 5 csillagos értékelésekkel is elláttak az alkalmazásboltban, ezzel növelve a gyanútlan áldozatok bizalmát és a letöltés esélyét.

„Voltak, akik folyamatosan jelentették értékeléseikkel a bővítmények kártékonyságát — de azt nem lehet megmondani, hogy vajon ők is adathalászat áldozataivá váltak, vagy csak a közösséget segítették,” tette hozzá Denley.

A Chrome Web Store-ban mindennaposak az adathalász, kártékony bővítmények, ami arra kényszeríti a Googlét, hogy azon nyomban törölje, amint jelentik. Februárban a vállalat mintegy 500 böngészőbővítményt törölt, olyanokat, amik adware reklámokat jelenítettek meg vagy C2 szerverekre továbbították a felhasználók aktivitását.

Amennyiben hasonló adathalász tevékenység áldozata lettél, érdemes felvenned a kapcsolatot CryptoScamDB-vel.