Google eliminó 49 extensiones del navegador Chrome de su tienda web que se hacían pasar por billeteras de criptomonedas pero contenían un código malicioso para desviar información confidencial y vaciar las monedas digitales.
Investigadores de MyCrypto y PhishFort identificaron los 49 complementos del navegador, posiblemente obra de actores de amenazas rusos (encuentre la lista aquí).
«Esencialmente, las extensiones son phishing en busca de secretos: frases mnemotécnicas, claves privadas y archivos de almacenamiento de claves», explicó Harry Denley, director de seguridad de MyCrypto. «Una vez que el usuario los ha ingresado, la extensión envía una solicitud HTTP POST a su backend, donde los malos actores reciben los secretos y vacían las cuentas».
Aunque las extensiones ofensivas se eliminaron dentro de las 24 horas posteriores a que se informaron a Google, el análisis de MyCrypto mostró que comenzaron a aparecer en la tienda web en febrero de 2020, antes de aumentar en los meses posteriores.
Además, todas las extensiones funcionaron de la misma manera, la única diferencia fueron las marcas de billeteras de criptomonedas que se vieron afectadas, como Ledger, Trezor, Jaxx, Electrum, MyEtherWallet, MetaMask, Exodus y KeepKey, a través de 14 comandos y controles únicos (C2 ) servidores que recibieron los datos phishing.
Por ejemplo, se descubrió que MEW CX, el complemento malicioso dirigido a MyEtherWallet, capturaba las frases iniciales y las transmitía a un servidor controlado por el atacante con la intención de drenar los fondos digitales de la billetera de la víctima.
Sin embargo, los fondos no fueron robados de todas las cuentas de esta manera. Los investigadores teorizan que esto podría deberse a que los delincuentes solo buscan cuentas de alto valor o que tienen que barrer manualmente las cuentas.
Algunas de las extensiones, dijo Denley, venían con reseñas falsas de cinco estrellas, lo que aumentaba las posibilidades de que un usuario desprevenido las descargara.
«También hubo una red de usuarios vigilantes que escribieron reseñas legítimas acerca de que las extensiones eran maliciosas; sin embargo, es difícil decir si fueron víctimas de las estafas de phishing o si simplemente ayudaron a la comunidad a no descargar», agregó Denley.
Las extensiones de robo de datos han sido una ocurrencia regular en Chrome Web Store, lo que lleva a Google a eliminarlas tan pronto como se descubren. En febrero, la empresa eliminó 500 extensiones maliciosas después de que se detectaron sirviendo adware y enviando la actividad de navegación de los usuarios a los servidores C2 bajo el control de los atacantes.
Si sospecha que se ha convertido en víctima de una extensión de navegador maliciosa y ha perdido fondos, se recomienda que presente un informe en CryptoScamDB.