Вредоносное расширение для Google Chrome распространялось под видом бесплатной раздачи токенов

Создатель
Владимир Опря

Исследователь в сфере кибербезопасности Гарри Денли (Harry Denley) нашел вредное расширение для браузера Гугл Chrome, направленное на кражу криптовалютных активов юзеров.

Денли провел детализированный анализ и узнал, что злоумышленники разослали токен ERC-20 Huobi Airdrop на разные адреса в блокчейне Эфириума, выбирая их случайным образом. К нему они прикрепили сообщение, в каком говорилось о проведении бесплатной раздачи токенов компанией Huobi. Мошенники приглашали юзеров посетить веб-сайт, типо сделанный биржей для проведения кампании по раздаче токенов.

При переходе на веб-сайт юзер получал извещение, которое преподносилось как интегрированная функция Chrome. В нем говорилось, что нужно скачать расширение «NoCoin – Block Coin Miners» для борьбы со сокрытым майнингом. Сообщается, что данное расширение было скачано минимум 230 раз, до этого чем компания Гугл заблокировала его.

Если в браузере было активировано расширение MetaMask, то возникало другое извещение, имитирующее обычную защиту MetaMask от вредных веб-сайтов, которое содержало ту же ссылку на жульническое расширение.

«Вначале кажется, что расширение делает то, что и обязано – оно нашло несколько скриптов криптоджекинга (CoinHive, MinerAlt, WebminerPool). При всем этом интерфейс расширения достаточно приятный и вызывает доверие у непросвещенных юзеров», – пишет Денли. «Но, проведя наиболее кропотливый анализ, я сделал вывод, что оно крадет данные юзеров кошельков MyEtherWallet (MEW) и Blockchain.com, которые потом передает жуликам».

На данный момент непонятно, в протяжении какого времени расширение было доступно для юзеров Chrome и какую сумму криптовалютных активов удалось украсть его создателям.

Источник