Theo Thehackernews, 49 tiện ích mở rộng này được xác định bởi các nhà nghiên cứu từ MyCrypto và PhishFort, với nguồn được cho là từ Nga. Giám đốc bảo mật Harry Denley tại MyCrypto cho biết các tiện ích mở rộng này lừa đảo người dùng tìm khóa bí mật, bao gồm từ ghi nhớ, khóa riêng và tập tin lưu trữ khóa. Khi người dùng nhập chúng, tiện ích mở rộng sẽ gửi yêu cầu HTTP POST đến phần phụ trợ của nó, nơi các tác nhân xấu nhận được các bí mật và làm trống các tài khoản.
Phân tích của MyCrypt cho thấy các tiện ích mở rộng này bắt đầu xuất hiện trên Chrome Web Store vào đầu tháng 2.2020 trước khi tăng tốc trong những tháng tiếp theo. Đặc biệt, tất cả tiện ích mở rộng này hoạt động giống nhau, với điểm khác biệt duy nhất là các thương hiệu ví điện tử bị ảnh hưởng, chẳng hạn như Ledger, Trezor, Jaxx, Electrum, MyEtherWallet, MetaMask, Exodus và KeepKey.
Mặc dù vậy, tiền điện tử không bị đánh cắp từ mọi tài khoản. Các nhà nghiên cứu đưa ra giả thuyết rằng điều này có thể do bọn tội phạm chỉ muốn nhắm đến các tài khoản có giá trị cao, hoặc chúng phải quét các tài khoản theo cách thủ công.
Bên cạnh đó, Denley cho biết một số tiện ích mở rộng đi kèm với đánh giá 5 sao giả mạo nhằm khiến người dùng không nghi ngờ trong việc tải xuống. Cũng theo Denley, có một số người dùng đã viết đánh giá hợp pháp cho biết tiện ích mở rộng đó là độc hại, tuy nhiên không rõ liệu họ có phải là nạn nhân của các trò lừa đảo hay chỉ đơn giản là giúp cộng đồng nắm bắt và không tải xuống ứng dụng đó.
Các tiện ích mở rộng đánh cắp dữ liệu đã xuất hiện thường xuyên trên Chrome Web Store, khiến Google phải thanh lọc chúng ngay khi được phát hiện. Vào tháng 2, công ty đã xóa 500 tiện ích mở rộng độc hại sau khi chúng bị phát hiện phục vụ phần mềm quảng cáo và gửi hoạt động duyệt web của người dùng đến các máy chủ C2 dưới sự kiểm soát của những kẻ tấn công.
Bình luận (0)