Денли провел детальный анализ и выяснил, что злоумышленники разослали токен ERC-20 Huobi Airdrop на различные адреса в блокчейне Эфириума, выбирая их случайным образом. К нему они прикрепили сообщение, в котором говорилось о проведении бесплатной раздачи токенов компанией Huobi. Мошенники приглашали пользователей посетить сайт, якобы созданный биржей для проведения кампании по раздаче токенов.
При переходе на сайт пользователь получал уведомление, которое преподносилось как встроенная функция Chrome. В нем говорилось, что необходимо скачать расширение «NoCoin – Block Coin Miners» для борьбы со скрытым майнингом. Сообщается, что данное расширение было скачано минимум 230 раз, прежде чем компания Google заблокировала его.
Если в браузере было активировано расширение MetaMask, то появлялось другое уведомление, имитирующее стандартную защиту MetaMask от вредоносных сайтов, которое содержало ту же ссылку на мошенническое расширение.
«Изначально кажется, что расширение выполняет то, что и должно – оно обнаружило несколько скриптов криптоджекинга (CoinHive, MinerAlt, WebminerPool). При этом интерфейс расширения довольно приятный и вызывает доверие у непросвещенных пользователей», – пишет Денли. «Однако, проведя более тщательный анализ, я пришел к выводу, что оно ворует данные пользователей кошельков MyEtherWallet (MEW) и Blockchain.com, которые впоследствии передает мошенникам».
На данный момент неизвестно, на протяжении какого времени расширение было доступно для пользователей Chrome и какую сумму криптовалютных активов удалось украсть его создателям.
