Google a supprimé 49 extensions Chrome malveillantes de sa boutique en ligne qui étaient censées être des applications de portefeuille de crypto-monnaie, mais ont en fait volé les clés privées des portefeuilles de crypto-monnaie ainsi que les crypto-monnaies des utilisateurs. Tel que rapporté par ZDNet, les extensions malveillantes ont été découvertes pour la première fois par le responsable de la sécurité de MyCrypto, Harry Denley, qui a partagé ses découvertes avec les médias. Selon Denley, les 49 extensions semblent avoir été créées par la même personne ou le même groupe de personnes qui, selon lui, sont des acteurs de la menace basés en Russie. De plus, toutes les extensions ont la même fonctionnalité, mais leur image de marque change en fonction de qui elles ciblent. Denley a pu identifier des extensions malveillantes se faisant passer pour de nombreuses applications de portefeuille cryptographique bien connues, notamment Ledger, Trexor, Jaxx, Electrum, MyEtherWallet, MetaMask, Exodus et KeepKey.
Extensions de portefeuille cryptographiques malveillantes
Les 49 extensions malveillantes fonctionnent à peu près de la même manière que les extensions légitimes, sauf que toutes les données saisies par un utilisateur lors de leur configuration ont été envoyées aux serveurs de l'attaquant ou à un formulaire Google. Alors que les attaquants disposent déjà de toutes les informations dont ils ont besoin pour commencer à voler la crypto-monnaie des utilisateurs, Denley a effectué un test qui a révélé que les fonds de son portefeuille crypto n'avaient pas été immédiatement volés. Il pense que cela est dû au fait que l'acteur de la menace ne souhaite voler que des cibles de grande valeur ou n'a pas compris comment automatiser l'opération et doit accéder manuellement à chaque compte. Dans un article sur Medium, MyCrypto a expliqué qu'il y a eu une augmentation des extensions malveillantes ciblant la crypto-monnaie ces derniers mois, déclarant : « Une analyse de notre ensemble de données suggère que les extensions malveillantes ont commencé à arriver lentement sur le magasin en février 2020, augmentant les versions jusqu'en mars 2020, puis libérant rapidement plus d'extensions en avril 2020. Cela signifie que notre détection s'améliore considérablement ou que le nombre d'extensions malveillantes frappant les magasins de navigateur pour cibler les utilisateurs de crypto-monnaie augmente de façon exponentielle. dire pourquoi." Étant donné que l'acteur de la menace derrière ces extensions malveillantes n'a pas encore été détecté, ils pourraient probablement essayer de lancer un système similaire à l'avenir. via ZDNet