Branżowy portal ZDNet poinformował o tym, że ze sklepu z rozszerzeniami Google Chrome firma usunęła 49 wtyczek. O ich szkodliwości poinformował Google Harry Denley, dyrektor bezpieczeństwa w MyCrypto. Wtyczki zostały zamieszczone przez ten sam podmiot, który zdaniem Denley'a pochodzi z Rosji. Funkcje wszystkich wtyczek były takie same, ale różniły się od siebie brandingiem zależnym od celu ataku. Identyfikatory rozszerzeń można sprawdzić w tabeli na końcu artykułu ZDNet.
Google usunęło wtyczki, które pozwalały kraść kryptowaluty
Rozszerzenia pozwalały uzyskać dostęp do portfeli kryptowalutowych obsługiwanych przez takie aplikacje jak Ledger, Trezor, Jaxx, Electrum, MyEtherWallet, MetaMask, Exodus oraz KeepKey. Rozszerzenia działały niemal identycznie jak prawdziwe aplikacje, ale dane wpisywane w celu uzyskania dostępu do portfela trafiały bezpośrednio do na serwery hakerów lub do formularzy Google. W ten sposób hakerzy uzyskiwali takie informacje, jak frazy mnemoniczne, klucze prywatne i pliki kluczy.
Dzięki temu mogli ukraść pieniądze z portfeli, których ofiary niestety nie odzyskają, ze względu na charakterystykę krytptowalut (ich kluczy nie da się złamać bez haseł dostępów). Denley w kontrolowanym eksperymencie zauważył, że pieniądze nie znikają z portfela od razu. To oznacza, że hakerzy bądź są zainteresowani wykradaniem środków tylko z kont o dużym zasobie, bądź nie wymyślili, jak ściągać środki automatycznie i muszą uzyskać dostęp do każdego konta manualnie.
[...]przestępcy kradnący środki z portfeli kryptowalutowych będą ponawiać tego typu ataki w przyszłość. Dlatego przez wyrażeniem zgody na instalację jakiekolwiek rozszerzenia, trzeba zwrócić uwagę na wymagane przez nie uprawnienia. Poza tym użytkownicy portfeli powinny stworzyć osobny profil wykorzystywany wyłącznie do operacji związanych z obsługą kryptowalut
- komentuje Mariusz Politowicz ekspert ds. bezpieczeństwa w Bitdefender Polska.
!["Polska dziarsko kroczy śladem Węgier". Fatalne wyniki [WYKRES]](https://bi.im-g.pl/im/cb/6f/1c/z29818059II.jpg)
