Hechos clave:
-
Ledger, Trezor, Jaxx, Electrum, MyEtherWallet son algunas de las carteras afectadas.
-
Las extensiones fueron eliminadas tan pronto como fueron descubiertas.
Google ha eliminado de su tienda web unas 49 extensiones del explorador Chrome que se hacÃan pasar por carteras de criptomonedas, pero que contenÃan códigos maliciosos para obtener información sensible y vaciar las carteras.
Las 49 extensiones, posiblemente producto del trabajo de operadores rusos, fueron identificadas por los investigadores de MyCrypto y PhishFort. Al respecto, Harry Denley, director de seguridad de MyCrypto, explicó que esencialmente las extensiones son phishing que contienen frases nemotécnicas, secretos, claves privadas y archivos de almacenamiento de claves.
Una vez que el usuario los introduce en su dispositivo, la extensión envÃa una petición HTTP POST a su backend, y asà los atacantes reciben los datos y vacÃan las cuentas de las vÃctimas.
Las extensiones maliciosas fueron eliminadas 24 horas después de haber sido reportadas a Google, pero el análisis de MyCrypto muestra que comenzaron a aparecer en la tienda web desde febrero de 2020, aumentando en los siguientes meses.
Todas las extensiones funcionan de la misma manera. La única diferencia tiene que ver con las marcas de las carteras de criptomonedas que se vieron afectadas a través de 14 servidores únicos de comando y control (C2) que recibieron los datos del phishing. Entre las carteras se hallan Ledger, Trezor, Jaxx, Electrum, MyEtherWallet, MetaMask, Exodus y KeepKey.
En ese sentido se encontró que MEW CX, la extensión maligna que tenÃa como objetivo a MyEtherWallet, capturaba las palabras semilla y las transmitÃa a un servidor controlado por el atacante con la intención de vaciar la cartera de la vÃctima.
Sin embargo, los fondos no fueron robados de todas las cuentas de esta manera. Los investigadores teorizan que esto podrÃa ser porque los cibercriminales solo buscan cuentas de alto valor o porque tienen que revisar manualmente las cuentas.
Según Denley, algunas de las extensiones venÃan con comentarios falsos de cinco estrellas, aumentando asà la posibilidad de que un usuario desprevenido las descargara. Sobre ello añadió lo siguiente:
También habÃa una red usuarios vigilantes que escribÃan crÃticas legÃtimas indicando que las extensiones eran maliciosas. Sin embargo, es difÃcil decir si ellos mismos fueron vÃctimas de las estafas de phishing, o simplemente ayudaban a la comunidad a no descargar.
Las extensiones de robo de datos suelen ser habituales en Chrome Web Store, llevando a Google a purgarlas tan pronto como son descubiertas. En febrero, la empresa eliminó 500 extensiones maliciosas después de que fueran descubiertas porque se trataba de un adware que enviaba la actividad de navegación de los usuarios a servidores C2 bajo el control de los atacantes.
Si sospecha que ha sido vÃctima de una extensión maliciosa del explorador y ha perdido fondos, es recomendable que presente un reporte en CryptoScamDB.
Versión traducida del artÃculo de Ravie Lakshmanan publicado en The Hacker News.