Google elimina 49 extensiones de Chrome que robaban claves de billeteras criptográficas

Google ha eliminado 49 extensiones de Chrome de la tienda web que se hicieron pasar por aplicaciones legítimas de billeteras de criptomonedas. Empero, contenían código malicioso que robaba claves privadas de criptomonedas, frases mnemotécnicas y otros secretos en bruto.

Las 49 extensiones fueron descubiertas por Harry Denley, Director de Seguridad de la plataforma MyCrypto, quien compartió sus hallazgos exclusivamente la semana pasada.

Denley dice que las 49 extensiones parecen haber sido reunidas por la misma persona/grupo, que se cree que es un actor de amenazas ruso.

“Si bien todas las extensiones funcionan de la misma manera, la marca es diferente según el usuario al que se dirigen”, dijo Denley.

El investigador de seguridad de MyCrypto dice que ha identificado extensiones maliciosas que se hacen pasar por aplicaciones conocidas. Por ejemplo, se hacen pasar por wallets como Ledger, Trezor, Jaxx, Electrum, MyEtherWallet, MetaMask, Exodus y KeepKey.

Todas las extensiones maliciosas funcionaron casi de manera idéntica a las reales. Empero, cualquier dato que ingrese una víctima durante los pasos de configuración se envía a uno de los servidores del atacante o a un Formulario de Google.

Sin embargo, los robos de las cuentas de los usuarios no ocurren de inmediato. En un experimento controlado, Denley dijo que ingresó las credenciales de una cuenta de prueba en una de las extensiones maliciosas. Los fondos no fueron robados de inmediato.

Robo de cuentas

Denley cree que el actor de la amenaza está interesado en robar fondos solo de cuentas de alto valor. También considera que el atacante no ha descubierto cómo automatizar los robos y tiene que acceder a cada cuenta manualmente.

No obstante, Denley dice que están ocurriendo robos. El investigador ha vinculado algunos incidentes reportados públicamente a algunas de las 49 extensiones que ha estado rastreando recientemente. Desafortunadamente, debido a la naturaleza de la mayoría de las criptomonedas, las víctimas no pueden recuperar ninguno de los fondos robados.

Además, dado que el ciberdelincuentes detrás de esta campaña todavía está en libertad, se espera que surjan otras extensiones maliciosas en los próximos meses.

Denley ahora está alentando a los usuarios a que presenten informes en CryptoScamDB. Esto si creen que alguna de sus extensiones de Chrome podría estar detrás de futuros robos de billetera y fondos perdidos. Dichos informes ayudan a Denley y a otros a rastrear extensiones maliciosas más rápido y a eliminarlas de la Chrome Web Store.

Las estadísticas, los indicadores de compromiso y otros detalles sobre esta campaña están disponibles en la investigación de Denley, que se publicará más adelante en Medium.

Extensiones eliminadas

ID de la extensión ¿Aún online? Wallet Objetivo
afephhbbcdlgdehhddfnehfndnkfbgnm N Ledger
agfjbfkpehcnceblmdahjaejpnnnkjdn N Ledger
ahlfiinafajfmciaajgophipcfholmeh N MyEtherWallet
bhkcgfbaokmhglgipbppoobmoblcomhh N Ledger
ckelhijilmmlmnaljmjpigfopkmfkoeh N MyEtherWallet
dbcfhcelmjepboabieglhjejeolaopdl N Ledger
ddohdfnenhipnhnbbfifknnhaomihcip N Ledger
dehindejipifeaikcgbkdijgkbjliojc N Ledger
dkhcmjfipgoapjamnngolidbcakpdhgf N Trezor
egpnofbhgafhbkapdhedimohmainbiio N MyEtherWallet
gpffceikmehgifkjjginoibpceadefih N Electrum
idnelecdpebmbpnmambnpcjogingdfco N Ledger
ifceimlckdanenfkfoomccpcpemphlbg N Electrum
igkljanmhbnhedgkmgpkcgpjmociceim N Ledger
jbfponbaiamgjmfpfghcjjhddjdjdpna N MetaMask
jfamimfejiccpbnghhjfcibhkgblmiml N Trezor
jlaaidmjgpgfkhehcljmeckhlaibgaol N Exodus
lfaahmcgahoalphllknbfcckggddoffj N Ledger
mcbcknmlpfkbpogpnfcimfgdmchchmmg N Ledger
mciddpldhpdpibckghnaoidpolnmighk N Ledger
mjbimaghobnkobfefccnnnjedoefbafl N Ledger
njhfmnfcoffkdjbgpannpgifnbgdihkl N MyEtherWallet
oejafikjmfmejaafjjkoeejjpdfkdkpc N Ledger
opmelhjohnmenjibglddlpmbpbocohck N Ledger
pbilbjpkfbfbackdcejdmhdfgeldakkn N Ledger
pcmdfnnipgpilomfclbnjpbdnmbcgjaf N MetaMask
pedokobimilhjemibclahcelgedmkgei N Jaxx
plnlhldekkpgnngfdbdhocnjfplgnekg N CCB
ogaclpidpghafcnbchgpbigfegdbdikj N Trezor
ijhakgidfnlallpobldpbhandllbeobg N MyEtherWallet
ifmkfoeijeemajoodjfoagpbejmmnkhm N MyEtherWallet
epphnioigompfjaknnaokghgcncnjfbe N MyEtherWallet
gbbpilgcdcmfppjkdociebhmcnbfbmod N KeepKey
akglkgdiggmkilkhejagginkngocbpbj N Trezor
ijohicfhndicpnmkaldafhbecijhdikd N Ledger
noilkpnilphojpjaimfcnldblelgllaa N Ledger
nicmhgecboifljcnbbjlajbpagmhcclp N MyEtherWallet
obcfoaeoidokjbaokikamaljjlpebofe N Ledger
dbcfokmgampdedgcefjahloodbgakkpl N Ledger
mnbhnjecaofgddbldmppbbdlokappkgk N Ledger
ahikdohkiedoomaklnohgdnmfcmbabcn N Ledger
anihmmejabpaocacmeodiapbhpholaom N Ledger
ehlgimmlmmcocemjadeafmohiplmgmei N Ledger
effhjobodhmkbgfpgcdabfnjlnphakhb N Ledger
kjnmimfgphmcppjhombdhhegpjphpiol N Ledger
glmbceclkhkaebcadgmbcjihllcnpmjh N MyEtherWallet
bkanfnnhokogflpnhnbfjdhbjdlgncdi N Ledger
bpfdhglfmfepjhgnhnmclbfiknjnfblb N MyEtherWallet
bpklfenmjhcjlocdicfadpfppcgojfjp N KeepKey
Deja un comentario