Google удалил 49 вредоносных расширений для браузера Chrome, которые охотились за криптовалютой пользователей. Эксперты считают, что за всеми этими аддонами стоит российская киберпреступная группа.
Если пользователь устанавливал одно из таких расширений, злонамеренный код тут же пытался выкрасть секретные ключи от криптовалютных кошельков.
Обнаруживший аддоны специалист Гарри Денли, возглавляющий отдел безопасности в MyCrypto, полагает, что все 49 расширений разработала одна группировка, следы которой ведут в Россию.
«Все выявленные расширения работают по одному и тому же сценарию, однако в зависимости от атакуемого пользователя меняется бренд», — утверждает Денли.
Авторы аддонов пытались замаскировать своё детище под легитимные приложения для криптовалютных кошельков: Ledger, Trezor, Jaxx, Electrum, MyEtherWallet, MetaMask, Exodus и KeepKey. Стоит отметить, что по функциональным возможностям злоумышленники максимально приблизили вредоносы к подлинным кошелькам.
Самое важное отличие зловредов от легитима заключалось в отправке информации — вредоносные расширения высылали все введённые жертвой данные прямиком на сервер киберпреступников.
Ниже приводим идентификаторы расширений, пытавшихся выкрасть цифровую валюту пользователей:
| ID расширения | Атакуемый кошелёк |
| afephhbbcdlgdehhddfnehfndnkfbgnm | Ledger |
| agfjbfkpehcnceblmdahjaejpnnnkjdn | Ledger |
| ahlfiinafajfmciaajgophipcfholmeh | MyEtherWallet |
| bhkcgfbaokmhglgipbppoobmoblcomhh | Ledger |
| ckelhijilmmlmnaljmjpigfopkmfkoeh | MyEtherWallet |
| dbcfhcelmjepboabieglhjejeolaopdl | Ledger |
| ddohdfnenhipnhnbbfifknnhaomihcip | Ledger |
| dehindejipifeaikcgbkdijgkbjliojc | Ledger |
| dkhcmjfipgoapjamnngolidbcakpdhgf | Trezor |
| egpnofbhgafhbkapdhedimohmainbiio | MyEtherWallet |
| gpffceikmehgifkjjginoibpceadefih | Electrum |
| idnelecdpebmbpnmambnpcjogingdfco | Ledger |
| ifceimlckdanenfkfoomccpcpemphlbg | Electrum |
| igkljanmhbnhedgkmgpkcgpjmociceim | Ledger |
| jbfponbaiamgjmfpfghcjjhddjdjdpna | MetaMask |
| jfamimfejiccpbnghhjfcibhkgblmiml | Trezor |
| jlaaidmjgpgfkhehcljmeckhlaibgaol | Exodus |
| lfaahmcgahoalphllknbfcckggddoffj | Ledger |
| mcbcknmlpfkbpogpnfcimfgdmchchmmg | Ledger |
| mciddpldhpdpibckghnaoidpolnmighk | Ledger |
| mjbimaghobnkobfefccnnnjedoefbafl | Ledger |
| njhfmnfcoffkdjbgpannpgifnbgdihkl | MyEtherWallet |
| oejafikjmfmejaafjjkoeejjpdfkdkpc | Ledger |
| opmelhjohnmenjibglddlpmbpbocohck | Ledger |
| pbilbjpkfbfbackdcejdmhdfgeldakkn | Ledger |
| pcmdfnnipgpilomfclbnjpbdnmbcgjaf | MetaMask |
| pedokobimilhjemibclahcelgedmkgei | Jaxx |
| plnlhldekkpgnngfdbdhocnjfplgnekg | CCB |
| ogaclpidpghafcnbchgpbigfegdbdikj | Trezor |
| ijhakgidfnlallpobldpbhandllbeobg | MyEtherWallet |
| ifmkfoeijeemajoodjfoagpbejmmnkhm | MyEtherWallet |
| epphnioigompfjaknnaokghgcncnjfbe | MyEtherWallet |
| gbbpilgcdcmfppjkdociebhmcnbfbmod | KeepKey |
| akglkgdiggmkilkhejagginkngocbpbj | Trezor |
| ijohicfhndicpnmkaldafhbecijhdikd | Ledger |
| noilkpnilphojpjaimfcnldblelgllaa | Ledger |
| nicmhgecboifljcnbbjlajbpagmhcclp | MyEtherWallet |
| obcfoaeoidokjbaokikamaljjlpebofe | Ledger |
| dbcfokmgampdedgcefjahloodbgakkpl | Ledger |
| mnbhnjecaofgddbldmppbbdlokappkgk | Ledger |
| ahikdohkiedoomaklnohgdnmfcmbabcn | Ledger |
| anihmmejabpaocacmeodiapbhpholaom | Ledger |
| ehlgimmlmmcocemjadeafmohiplmgmei | Ledger |
| effhjobodhmkbgfpgcdabfnjlnphakhb | Ledger |
| kjnmimfgphmcppjhombdhhegpjphpiol | Ledger |
| glmbceclkhkaebcadgmbcjihllcnpmjh | MyEtherWallet |
| bkanfnnhokogflpnhnbfjdhbjdlgncdi | Ledger |
| bpfdhglfmfepjhgnhnmclbfiknjnfblb | MyEtherWallet |
| bpklfenmjhcjlocdicfadpfppcgojfjp | KeepKey |
