[vc_row][vc_column][vc_paragraph text=»Google выкинул сорок девять плагинов браузера Chrome из своего Интернет-магазина, которые выдавали себя за криптовалютные кошельки.«][/vc_column][/vc_row][vc_row][vc_column][vc_heading title=»Официальный — не значит, что не вредоносный» size=»medium»][/vc_column][/vc_row][vc_row][vc_column][vc_paragraph text=»Расширения были обнаружены исследователями из MyCrypto — интерфейса с открытым исходным кодом для блокчейна, и PhishFort, который продает защиту от фишинга.»][/vc_column][/vc_row][vc_row][vc_column][vc_paragraph text=»Гарри Денли, директор по безопасности MyCrypto заявил, что вредоносные плагины не новы. Они предназначаются для крипто-кошельков Ledger (57% вредоносных расширений предназначались для этого кошелька), Trezor, Jaxx, Electrum, MyEtherWallet, MetaMask, Exodus и KeepKey.»][/vc_column][/vc_row][vc_row][vc_column][vc_paragraph text=»По сути, «расширения являются фишингом секретов», включая мнемонические фразы пользователей, личные ключи и файлы хранилища ключей, которые представляют собой файлы безопасности, используемые для таких вещей, как идентификация разработчиков приложений или шифрование SSL.»][/vc_column][/vc_row][vc_row][vc_column][vc_paragraph text=»Как только пользователь вводит эти конфиденциальные данные, отправляется HTTP-запрос POST бэкэнду, где злоумышленники получают все секретные данные и используют их, чтобы очистить кошельки.»][/vc_column][/vc_row][vc_row][vc_column][vc_paragraph text=»MyCrypt идентифицировал 14 уникальных командно-контрольных серверов (C2), получающих данные от взломанных систем. После анализа на серверах исследователи обнаружили, что некоторые из них были связаны между собой. Это означает, что у них, вероятно, были общие хакеры.»][/vc_column][/vc_row][vc_row][vc_column][vc_paragraph text=»В то время как некоторые из них отправляли фишированные данные обратно в форму GoogleDocs, большинство размещали свой собственный бэкэнд с пользовательскими сценариями PHP.»][/vc_column][/vc_row][vc_row][vc_column][vc_heading title=»Хакеры, создавшие фальшивые плагины, возможно из России» size=»medium»][vc_single_image image=»978″ img_size=»full»][/vc_column][/vc_row][vc_row][vc_column][vc_paragraph text=»Большинство доменов совершенно новые: 80% из них были зарегистрированы в марте и апреле. Самый старый домен — ledger.productions, наиболее связан с другими серверами. Это дает исследователям некоторое представление о том же бэкэнд-наборе, или о тех же злоумышленниках, которые проводят операции для большинства плагинов.»][/vc_column][/vc_row][vc_row][vc_column][vc_paragraph text=»Один из серверов дал несколько подсказок об этом. Во-первых, похоже, что хакерские действия по криптовалютному кошельку могут иметь корни в России, учитывая, что электронная почта администратора заканчивается на «r.ru».»][/vc_column][/vc_row][vc_row][vc_column][vc_paragraph text=»Процесс имитирует типичный опыт MyEtherWallet, пока пользователь не введет свои секретные данные. Вредоносное приложение отправляет их обратно в C2s, затем направляет пользователя обратно в представление по умолчанию, а затем ничего не делает.»][/vc_column][/vc_row][vc_row][vc_column][vc_paragraph text=»Это приводит либо к разочарованию пользователя, который снова передает свои секреты, либо, может быть, даже кормит вредоносные программы новыми секретами. Или пользователь удаляет расширение и забывает о нем, пока его кошелек не будет очищен преступниками. Это может произойти только после того, как плагин будет удален, а это означает, что обманутый пользователь не может выяснить, где была его дыра в безопасности.»][/vc_column][/vc_row][vc_row][vc_column][vc_paragraph text=»Некоторые из этих расширений были оценены сетью фальшивых рецензентов, выдающих поддельные 5-звездочные отзывы. Обзоры были краткими и некачественными, такими как «хорошее», «полезное приложение» или «законное».»][/vc_column][/vc_row][vc_row][vc_column][vc_paragraph text=»MyEtherWallet имело одну и ту же «копию», причем один и тот же обзор был опубликован около 8 раз и предположительно создан разными пользователями. Во всех обзорах рассказывалось о том, что такое Биткойн, и объяснялось, почему (злонамеренный) MyEtherWallet был их предпочтением для браузера.»][/vc_column][/vc_row][vc_row][vc_column][vc_paragraph text=»Исследователи отправили средства на несколько адресов и передали секреты вредоносным плагинам. Однако они не были автоматически просмотрены, возможно, потому, что злоумышленники интересуются только ценными учетными записями, или, возможно, потому, что им приходится сканировать аккаунты вручную.»][/vc_column][/vc_row][vc_row][vc_column][vc_paragraph text=»Хотя эксперты и не раскрыли свою конфиденциальную информацию для вредоносных ПО, многие пользователи опубликовали информацию о потере средств на форуме поддержки Chrome, Reddit и Toshi Times.»][/vc_column][/vc_row][vc_row][vc_column][vc_paragraph text=»Google выкинул мусорные расширения из магазина Chrome в течение 24 часов после получения хедз-апа. «][/vc_column][/vc_row]
