Google đã hất cẳng 49 tiện ích mở rộng của trình duyệt Chrome khỏi Cửa hàng trực tuyến của mình, giả mạo là ví tiền điện tử nhưng chứa mã độc để hút thông tin nhạy cảm và làm trống các loại tiền kỹ thuật số.
49 tiện ích bổ sung cho trình duyệt, có khả năng là tác phẩm của các tác nhân đe dọa Nga, là xác định (tìm danh sách ở đây) bởi các nhà nghiên cứu từ MyCrypto và PhishFort.
“Về cơ bản, các phần mở rộng đang lừa đảo để tìm bí mật – cụm từ ghi nhớ, khóa riêng và tệp lưu trữ khóa, “Harry Denley, giám đốc bảo mật của MyCrypto giải thích.” Khi người dùng đã nhập chúng, tiện ích mở rộng sẽ gửi yêu cầu HTTP POST đến phần phụ trợ của nó, nơi các diễn viên xấu nhận được bí mật và làm trống tài khoản. “
Mặc dù các tiện ích mở rộng vi phạm đã bị xóa trong vòng 24 giờ sau khi chúng được báo cáo cho Google, phân tích của MyCrypt cho thấy chúng bắt đầu xuất hiện trên Cửa hàng trực tuyến vào đầu tháng 2 năm 2020, trước khi tăng tốc trong những tháng tiếp theo.
Ngoài ra, tất cả các tiện ích mở rộng đều hoạt động giống nhau, điểm khác biệt duy nhất là các thương hiệu ví tiền điện tử bị ảnh hưởng – chẳng hạn như Ledger, Trezor, Jaxx, Electrum, MyEtherWallet, MetaMask, Exodus và KeepKey – thông qua 14 lệnh và kiểm soát duy nhất (C2 ) máy chủ nhận được dữ liệu lừa đảo.
Chẳng hạn, MEW CX, tiện ích bổ sung độc hại nhắm mục tiêu MyEtherWallet, đã được tìm thấy khi bắt các cụm từ hạt giống và truyền chúng đến một máy chủ do kẻ tấn công kiểm soát với ý định rút ví tiền của nạn nhân.
Tuy nhiên, tiền không bị đánh cắp từ mọi tài khoản theo cách này. Các nhà nghiên cứu đưa ra giả thuyết điều này có thể là do bọn tội phạm chỉ theo sau các tài khoản có giá trị cao hoặc chúng phải quét tài khoản theo cách thủ công.
Một số tiện ích mở rộng, Denley cho biết, đi kèm với các đánh giá năm sao giả mạo, do đó làm tăng cơ hội người dùng không nghi ngờ có thể tải xuống.
“Ngoài ra còn có một mạng lưới người dùng thận trọng đã viết các đánh giá hợp pháp về các tiện ích mở rộng là độc hại – tuy nhiên, thật khó để nói rằng liệu họ có phải là nạn nhân của các trò lừa đảo hay chỉ giúp cộng đồng không tải xuống”, Denley nói thêm.
Các tiện ích mở rộng đánh cắp dữ liệu đã xuất hiện thường xuyên trên Cửa hàng Chrome trực tuyến, khiến Google phải thanh lọc chúng ngay khi chúng được phát hiện. Trở lại vào tháng Hai, công ty đã gỡ bỏ 500 phần mở rộng độc hại sau khi họ bị bắt phục vụ phần mềm quảng cáo và gửi hoạt động duyệt web của người dùng đến các máy chủ C2 dưới sự kiểm soát của những kẻ tấn công.
Nếu bạn nghi ngờ mình trở thành nạn nhân của tiện ích mở rộng trình duyệt độc hại và bị mất tiền, chúng tôi khuyên bạn nên gửi báo cáo tại Tiền điện tử.
