Descubren 49 nuevas extensiones de Google Chrome secuestrando billeteras de criptomonedas.

Investigadores de MyCrypto y PhishFort identificaron los 49 complementos del navegador, que en su mayoría eran de origen ruso, (encuentre la lista aquí).

“Esencialmente, las extensiones son phishing de secrets: frases mnemotécnicas, claves privadas y archivos de almacén de claves”, explicó Harry Denley, director de seguridad de MyCrypto. “Una vez que el usuario los ha ingresado, la extensión envía una solicitud HTTP POST a su backend, donde los ciberdelincuentes reciben los secrets y vacían las cuentas”.

Aunque las extensiones maliciosas se eliminaron dentro de las 24 horas posteriores de informadas a Google, el análisis de MyCrypto mostró que comenzaron a aparecer en la Tienda Web a partir de febrero de 2020, y fueron aumentando en los meses siguientes.

Además, todas las extensiones funcionaban igual, la única diferencia eran las marcas de billetera de criptomonedas que se vieron afectadas, como Ledger, Trezor, Jaxx, Electrum, MyEtherWallet, MetaMask, Exodus y KeepKey, a través de 14 comandos y controles únicos (C2 ), los servidores recibieron los datos de phishing.

Por ejemplo, se encontró que MEW CX, el complemento malicioso dirigido a MyEtherWallet, capturaba las frases iniciales y las transmitía a un servidor controlado por el atacante con la intención de drenar la cartera de fondos digitales de la víctima.

Sin embargo, los fondos no fueron robados de todas las cuentas de esta manera. Los investigadores teorizan que esto podría deberse a que los delincuentes solo buscan cuentas de alto valor o que tienen que barrer las cuentas manualmente.

Algunas de las extensiones, dijo Denley, vienen con críticas falsas de cinco estrellas, lo que aumenta las posibilidades de que un usuario desprevenido pueda descargarlo.

“También hubo una red de usuarios vigilantes que escribieron críticas legítimas sobre las extensiones maliciosas; sin embargo, es difícil decir si fueron víctimas de las estafas de suplantación de identidad (phishing), o simplemente ayudaron a la comunidad a no descargar”, agregó Denley.

Las extensiones de robo de datos han sido frecuentes en Chrome Web Store, lo que lleva a Google a purgarlas tan pronto como se descubren. En febrero, la compañía eliminó 500 extensiones maliciosas después de que las descubrieran sirviendo adware y enviando la actividad de navegación de los usuarios a servidores C2 bajo el control de los atacantes.

Si sospecha que se ha convertido en una víctima de una extensión de navegador maliciosa y ha perdido fondos, se recomienda que presente un informe en CryptoULLDB.

Fuente: sectorx

Comments are closed.