49 extensiones de Google Chrome atrapadas secuestrando carteras de criptomonedas

Google ha eliminado 49 extensiones de navegador Chrome de su tienda web que se hacían pasar por billeteras de criptomonedas pero contenían código malicioso para desviar información confidencial y vaciar las monedas digitales.  Investigadores de MyCrypto y PhishFort identificaron los 49 complementos del navegador, potencialmente el trabajo de los actores de amenazas rusos, (encuentre la lista aquí). "Esencialmente, las extensiones son phishing de secretos: frases mnemotécnicas , claves privadas y archivos de almacén de claves", explicó Harry Denley, director de seguridad de MyCrypto. "Una vez que el usuario los ha ingresado, la extensión envía una solicitud HTTP POST a su backend, donde los malos actores reciben los secretos y vacían las cuentas".

Aunque las extensiones ofensivas se eliminaron dentro de las 24 horas posteriores a su informe a Google, el análisis de MyCrypto mostró que comenzaron a aparecer en la Tienda Web a partir de febrero de 2020, antes de aumentar en los meses siguientes.

Además, todas las extensiones funcionaban igual, la única diferencia eran las marcas de billetera de criptomonedas que se vieron afectadas, como Ledger, Trezor, Jaxx, Electrum, MyEtherWallet, MetaMask, Exodus y KeepKey, a través de 14 comandos y controles únicos (C2 ) servidores que recibieron los datos de phishing.


Por ejemplo, se encontró que MEW CX, el complemento malicioso dirigido a MyEtherWallet, capturaba las frases iniciales y las transmitía a un servidor controlado por el atacante con la intención de drenar la cartera de fondos digitales de la víctima.

Sin embargo, los fondos no fueron robados de todas las cuentas de esta manera. Los investigadores teorizan que esto podría deberse a que los delincuentes solo buscan cuentas de alto valor o que tienen que barrer las cuentas manualmente.

Algunas de las extensiones, dijo Denley, vienen con críticas falsas de cinco estrellas, lo que aumenta las posibilidades de que un usuario desprevenido pueda descargarlo.

"También había una red de usuarios vigilantes que escribieron críticas legítimas sobre las extensiones maliciosas; sin embargo, es difícil decir si fueron víctimas de las estafas de phishing o simplemente ayudaron a la comunidad a no descargar", agregó Denley.

Las extensiones de robo de datos han sido frecuentes en Chrome Web Store, lo que lleva a Google a purgarlas tan pronto como se descubren. En febrero, la compañía eliminó 500 extensiones maliciosas después de que las descubrieran sirviendo adware y enviando la actividad de navegación de los usuarios a servidores C2 bajo el control de los atacantes.

Si sospecha que se ha convertido en una víctima de una extensión de navegador malicioso y ha perdido fondos, se recomienda que presente un informe en CryptoULLDB.

Vía: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta