З магазину Google Chrome цього тижня було видалено 49 розширень, які давали змогу вкрасти особисті дані користувачів криптовалютних гаманців. На ці розширення звернув увагу керівник відділу безпеки платформи MyCrypto Гаррі Денло.

Розширення становили небезпеку для власників гаманців Ledger, MyEtherWallet, Trezor, Electrum та інших. У магазині вони видавалися як легітимні криптовалютні додатки. Разом з цим шкідливий код розширень давав змогу зловмисникам красти ключі від гаманців.

Як працювали розширення

За спостереженнями Денло, принцип роботи всіх шкідників приблизно однаковий, що говорить про те, що їх могла створити одна і та ж команда або людина. Після того, як користувач вводив дані, розширення відправляло HTTP-запит POST на свій бекенда.

На цьому відео дослідник показує роботу з розширенням MEW CW (MyEtherWallet):

Попри те, що всі дані користувача негайно відправлялися на підконтрольні хакерам сервери, крадіжка криптовалюти відбувалася не відразу. Денло зробив висновок, що або зловмисники в першу чергу крали валюту з найбільш цінних гаманців, або вони не змогли автоматизувати процес роботи розширень і виконували всі операції вручну.

Користувачам подібних розширень потрібно бути обережними, оскільки їх автори можуть здійснювати чергові спроби проникнути в магазин Google Chrome. Денло радить створити окремого користувача браузера виключно для роботи з криптовалютою.