Google удалил из интернет-магазина для браузера Chrome 49 расширений. Эти приложения распространялись под видом утилит для работы с криптовалютными кошельками, но содержали вредоносный код.

Директор и исследователь по безопасности платформы MyCrypto Гарри Денли (Harry Denley), обнаруживший эти расширения, считает, что все они были созданы одним человеком или группой, предположительно, из России.

«Все представленные расширения функционируют одинаково, различаются они только тем, что ориентированы на разные категории пользователей», - сообщил Денли.

Все 49 расширений распространялись под видом официальных утилит для работы с криптовалютными кошельками KeepKey, Ledger, Exodus, Trezor, MetaMask, Jaxx, MyEtherWallet, Electrum. Они умело копировали интерфейс настоящих расширений и функционировали почти идентично. Но введенные пользователем данные, в том числе закрытые ключи и мнемонические фразы, отправлялись злоумышленникам.

Денли решил провести эксперимент и ввел в одном из мошеннических расширений данные своего тестового кошелька. В результате он выяснил, что средства с кошельков пропадают не сразу:

«Вероятно, злоумышленники выжидают, пока на кошельке не окажется более внушительная сумма, либо они пока не смогли автоматизировать процесс и им приходится опустошать кошельки в ручном режиме».

Исследователь указал на три публичных случая (1, 2, 3) кражи криптовалют, где, по его мнению, пользователи стали жертвами этих 49 расширений. Он заявил, что злоумышленники наверняка попытаются вновь добавить вредоносные расширения в интернет-магазин Chrome.

Денли призвал пользователей сообщать о любых подозрительных расширениях, которые могут стать причиной взлома кошелька, через сайт CryptooveredDB. Это поможет быстрее отследить вредоносные расширения и удалить их.