Google elimina 49 extensiones de Chrome que robaban claves de billeteras criptográficas
Google ha eliminado 49 extensiones de Chrome de la tienda web que se hicieron pasar por aplicaciones legítimas de billeteras de criptomonedas. Empero, contenían código malicioso que robaba claves privadas de criptomonedas, frases mnemotécnicas y otros secretos en bruto.
Las 49 extensiones fueron descubiertas por Harry Denley, Director de Seguridad de la plataforma MyCrypto, quien compartió sus hallazgos exclusivamente la semana pasada.
Denley dice que las 49 extensiones parecen haber sido reunidas por la misma persona/grupo, que se cree que es un actor de amenazas ruso.
“Si bien todas las extensiones funcionan de la misma manera, la marca es diferente según el usuario al que se dirigen”, dijo Denley.
El investigador de seguridad de MyCrypto dice que ha identificado extensiones maliciosas que se hacen pasar por aplicaciones conocidas. Por ejemplo, se hacen pasar por wallets como Ledger, Trezor, Jaxx, Electrum, MyEtherWallet, MetaMask, Exodus y KeepKey.
Todas las extensiones maliciosas funcionaron casi de manera idéntica a las reales. Empero, cualquier dato que ingrese una víctima durante los pasos de configuración se envía a uno de los servidores del atacante o a un Formulario de Google.
Sin embargo, los robos de las cuentas de los usuarios no ocurren de inmediato. En un experimento controlado, Denley dijo que ingresó las credenciales de una cuenta de prueba en una de las extensiones maliciosas. Los fondos no fueron robados de inmediato.
Robo de cuentas
Denley cree que el actor de la amenaza está interesado en robar fondos solo de cuentas de alto valor. También considera que el atacante no ha descubierto cómo automatizar los robos y tiene que acceder a cada cuenta manualmente.
No obstante, Denley dice que están ocurriendo robos. El investigador ha vinculado algunos incidentes reportados públicamente a algunas de las 49 extensiones que ha estado rastreando recientemente. Desafortunadamente, debido a la naturaleza de la mayoría de las criptomonedas, las víctimas no pueden recuperar ninguno de los fondos robados.
Además, dado que el ciberdelincuentes detrás de esta campaña todavía está en libertad, se espera que surjan otras extensiones maliciosas en los próximos meses.
Denley ahora está alentando a los usuarios a que presenten informes en CryptoScamDB. Esto si creen que alguna de sus extensiones de Chrome podría estar detrás de futuros robos de billetera y fondos perdidos. Dichos informes ayudan a Denley y a otros a rastrear extensiones maliciosas más rápido y a eliminarlas de la Chrome Web Store.
Las estadísticas, los indicadores de compromiso y otros detalles sobre esta campaña están disponibles en la investigación de Denley, que se publicará más adelante en Medium.
Extensiones eliminadas
| ID de la extensión | ¿Aún online? | Wallet Objetivo |
| afephhbbcdlgdehhddfnehfndnkfbgnm | N | Ledger |
| agfjbfkpehcnceblmdahjaejpnnnkjdn | N | Ledger |
| ahlfiinafajfmciaajgophipcfholmeh | N | MyEtherWallet |
| bhkcgfbaokmhglgipbppoobmoblcomhh | N | Ledger |
| ckelhijilmmlmnaljmjpigfopkmfkoeh | N | MyEtherWallet |
| dbcfhcelmjepboabieglhjejeolaopdl | N | Ledger |
| ddohdfnenhipnhnbbfifknnhaomihcip | N | Ledger |
| dehindejipifeaikcgbkdijgkbjliojc | N | Ledger |
| dkhcmjfipgoapjamnngolidbcakpdhgf | N | Trezor |
| egpnofbhgafhbkapdhedimohmainbiio | N | MyEtherWallet |
| gpffceikmehgifkjjginoibpceadefih | N | Electrum |
| idnelecdpebmbpnmambnpcjogingdfco | N | Ledger |
| ifceimlckdanenfkfoomccpcpemphlbg | N | Electrum |
| igkljanmhbnhedgkmgpkcgpjmociceim | N | Ledger |
| jbfponbaiamgjmfpfghcjjhddjdjdpna | N | MetaMask |
| jfamimfejiccpbnghhjfcibhkgblmiml | N | Trezor |
| jlaaidmjgpgfkhehcljmeckhlaibgaol | N | Exodus |
| lfaahmcgahoalphllknbfcckggddoffj | N | Ledger |
| mcbcknmlpfkbpogpnfcimfgdmchchmmg | N | Ledger |
| mciddpldhpdpibckghnaoidpolnmighk | N | Ledger |
| mjbimaghobnkobfefccnnnjedoefbafl | N | Ledger |
| njhfmnfcoffkdjbgpannpgifnbgdihkl | N | MyEtherWallet |
| oejafikjmfmejaafjjkoeejjpdfkdkpc | N | Ledger |
| opmelhjohnmenjibglddlpmbpbocohck | N | Ledger |
| pbilbjpkfbfbackdcejdmhdfgeldakkn | N | Ledger |
| pcmdfnnipgpilomfclbnjpbdnmbcgjaf | N | MetaMask |
| pedokobimilhjemibclahcelgedmkgei | N | Jaxx |
| plnlhldekkpgnngfdbdhocnjfplgnekg | N | CCB |
| ogaclpidpghafcnbchgpbigfegdbdikj | N | Trezor |
| ijhakgidfnlallpobldpbhandllbeobg | N | MyEtherWallet |
| ifmkfoeijeemajoodjfoagpbejmmnkhm | N | MyEtherWallet |
| epphnioigompfjaknnaokghgcncnjfbe | N | MyEtherWallet |
| gbbpilgcdcmfppjkdociebhmcnbfbmod | N | KeepKey |
| akglkgdiggmkilkhejagginkngocbpbj | N | Trezor |
| ijohicfhndicpnmkaldafhbecijhdikd | N | Ledger |
| noilkpnilphojpjaimfcnldblelgllaa | N | Ledger |
| nicmhgecboifljcnbbjlajbpagmhcclp | N | MyEtherWallet |
| obcfoaeoidokjbaokikamaljjlpebofe | N | Ledger |
| dbcfokmgampdedgcefjahloodbgakkpl | N | Ledger |
| mnbhnjecaofgddbldmppbbdlokappkgk | N | Ledger |
| ahikdohkiedoomaklnohgdnmfcmbabcn | N | Ledger |
| anihmmejabpaocacmeodiapbhpholaom | N | Ledger |
| ehlgimmlmmcocemjadeafmohiplmgmei | N | Ledger |
| effhjobodhmkbgfpgcdabfnjlnphakhb | N | Ledger |
| kjnmimfgphmcppjhombdhhegpjphpiol | N | Ledger |
| glmbceclkhkaebcadgmbcjihllcnpmjh | N | MyEtherWallet |
| bkanfnnhokogflpnhnbfjdhbjdlgncdi | N | Ledger |
| bpfdhglfmfepjhgnhnmclbfiknjnfblb | N | MyEtherWallet |
| bpklfenmjhcjlocdicfadpfppcgojfjp | N | KeepKey |
