-
Ledger, Trezor, Jaxx, Electrum, MyEtherWallet son algunas de las carteras afectadas.
-
Las extensiones fueron eliminadas tan pronto como fueron descubiertas.
Google ha eliminado de su tienda web unas 49 extensiones del explorador Chrome que se hacรญan pasar por carteras de criptomonedas, pero que contenรญan cรณdigos maliciosos para obtener informaciรณn sensible y vaciar las carteras.
Las 49 extensiones, posiblemente producto del trabajo de operadores rusos, fueron identificadas por los investigadores de MyCrypto y PhishFort. Al respecto, Harry Denley, director de seguridad de MyCrypto, explicรณ que esencialmente las extensiones son phishing que contienen frases nemotรฉcnicas, secretos, claves privadas y archivos de almacenamiento de claves.
Una vez que el usuario los introduce en su dispositivo, la extensiรณn envรญa una peticiรณn HTTP POST a su backend, y asรญ los atacantes reciben los datos y vacรญan las cuentas de las vรญctimas.
Las extensiones maliciosas fueron eliminadas 24 horas despuรฉs de haber sido reportadas a Google, pero el anรกlisis de MyCrypto muestra que comenzaron a aparecer en la tienda web desde febrero de 2020, aumentando en los siguientes meses.
Todas las extensiones funcionan de la misma manera. La รบnica diferencia tiene que ver con las marcas de las carteras de criptomonedas que se vieron afectadas a travรฉs de 14 servidores รบnicos de comando y control (C2) que recibieron los datos del phishing. Entre las carteras se hallan Ledger, Trezor, Jaxx, Electrum, MyEtherWallet, MetaMask, Exodus y KeepKey.
En ese sentido se encontrรณ que MEW CX, la extensiรณn maligna que tenรญa como objetivo a MyEtherWallet, capturaba las palabras semilla y las transmitรญa a un servidor controlado por el atacante con la intenciรณn de vaciar la cartera de la vรญctima.
Sin embargo, los fondos no fueron robados de todas las cuentas de esta manera. Los investigadores teorizan que esto podrรญa ser porque los cibercriminales solo buscan cuentas de alto valor o porque tienen que revisar manualmente las cuentas.
Segรบn Denley, algunas de las extensiones venรญan con comentarios falsos de cinco estrellas, aumentando asรญ la posibilidad de que un usuario desprevenido las descargara. Sobre ello aรฑadiรณ lo siguiente:
Tambiรฉn habรญa una red usuarios vigilantes que escribรญan crรญticas legรญtimas indicando que las extensiones eran maliciosas. Sin embargo, es difรญcil decir si ellos mismos fueron vรญctimas de las estafas de phishing, o simplemente ayudaban a la comunidad a no descargar.
Las extensiones de robo de datos suelen ser habituales en Chrome Web Store, llevando a Google a purgarlas tan pronto como son descubiertas. En febrero, la empresa eliminรณ 500 extensiones maliciosas despuรฉs de que fueran descubiertas porque se trataba de un adware que enviaba la actividad de navegaciรณn de los usuarios a servidores C2 bajo el control de los atacantes.
Si sospecha que ha sido vรญctima de una extensiรณn maliciosa del explorador y ha perdido fondos, es recomendable que presente un reporte en CryptoScamDB.
Versiรณn traducida del artรญculo de Ravie Lakshmanan publicado en The Hacker News.