Hechos clave:
- Ledger, Trezor, Jaxx, Electrum, MyEtherWallet son algunas de las carteras afectadas.
- Las extensiones fueron eliminadas tan pronto como fueron descubiertas.
Google ha eliminado de su tienda web unas 49 extensiones del explorador Chrome que se hacían pasar por carteras de criptomonedas, pero que contenían códigos maliciosos para obtener información sensible y vaciar las carteras.
Las 49 extensiones, posiblemente producto del trabajo de operadores rusos, fueron identificadas por los investigadores de MyCrypto y PhishFort. Al respecto, Harry Denley, director de seguridad de MyCrypto, explicó que esencialmente las extensiones son phishing que contienen frases nemotécnicas, secretos, claves privadas y archivos de almacenamiento de claves.
Una vez que el usuario los introduce en su dispositivo, la extensión envía una petición HTTP POST a su backend, y así los atacantes reciben los datos y vacían las cuentas de las víctimas.
Las extensiones maliciosas fueron eliminadas 24 horas después de haber sido reportadas a Google, pero el análisis de MyCrypto muestra que comenzaron a aparecer en la tienda web desde febrero de 2020, aumentando en los siguientes meses.
Todas las extensiones funcionan de la misma manera. La única diferencia tiene que ver con las marcas de las carteras de criptomonedas que se vieron afectadas a través de 14 servidores únicos de comando y control (C2) que recibieron los datos del phishing. Entre las carteras se hallan Ledger, Trezor, Jaxx, Electrum, MyEtherWallet, MetaMask, Exodus y KeepKey.
En ese sentido se encontró que MEW CX, la extensión maligna que tenía como objetivo a MyEtherWallet, capturaba las palabras semilla y las transmitía a un servidor controlado por el atacante con la intención de vaciar la cartera de la víctima.
Sin embargo, los fondos no fueron robados de todas las cuentas de esta manera. Los investigadores teorizan que esto podría ser porque los cibercriminales solo buscan cuentas de alto valor o porque tienen que revisar manualmente las cuentas.
Según Denley, algunas de las extensiones venían con comentarios falsos de cinco estrellas, aumentando así la posibilidad de que un usuario desprevenido las descargara. Sobre ello añadió lo siguiente:
También había una red usuarios vigilantes que escribían críticas legítimas indicando que las extensiones eran maliciosas. Sin embargo, es difícil decir si ellos mismos fueron víctimas de las estafas de phishing, o simplemente ayudaban a la comunidad a no descargar.
Las extensiones de robo de datos suelen ser habituales en Chrome Web Store, llevando a Google a purgarlas tan pronto como son descubiertas. En febrero, la empresa eliminó 500 extensiones maliciosas después de que fueran descubiertas porque se trataba de un adware que enviaba la actividad de navegación de los usuarios a servidores C2 bajo el control de los atacantes.
Si sospecha que ha sido víctima de una extensión maliciosa del explorador y ha perdido fondos, es recomendable que presente un reporte en CryptoScamDB.
Versión traducida del artículo de Ravie Lakshmanan publicado en The Hacker News.
