أخرجت Google 49 ملحقًا لمتصفح Chrome من متجر الويب الخاص بها والتي تم تنكرها كمحافظ عملة مشفرة ولكنها تحتوي على كود ضار لاستخراج المعلومات الحساسة وإفراغ العملات الرقمية.
تم تحديد الوظائف الإضافية الـ 49 للمتصفح ، والتي من المحتمل أن تكون عمل الجهات الفاعلة في مجال التهديد الروسي (اعثر على القائمة هنا) من قبل باحثين من MyCrypto و PhishFort.
وأوضح هاري دينلي ، مدير الأمن في MyCrypto: "بشكل أساسي ، فإن الإضافات تصيّد لأسرار – عبارات ذات ذاكرة ، ومفاتيح خاصة ، وملفات تخزين المفاتيح". "بمجرد إدخال المستخدم لهم ، ترسل الإضافة طلب HTTP POST إلى الواجهة الخلفية ، حيث يتلقى الممثلون السيئون الأسرار ويفرون الحسابات."
على الرغم من إزالة الامتدادات المخالفة في غضون 24 ساعة بعد إبلاغ Google بها ، أظهر تحليل My Crypto أنها بدأت في الظهور على السوق الإلكتروني في وقت مبكر من فبراير 2020 ، قبل زيادة في الأشهر اللاحقة.
بالإضافة إلى ذلك ، عملت جميع الإضافات على حد سواء ، والفرق الوحيد هو العلامات التجارية لمحفظة العملات المشفرة التي تأثرت – مثل Ledger و Trezor و Jaxx و Electrum و MyEtherWallet و MetaMask و Exodus و KeepKey – عبر 14 أمرًا فريدًا للتحكم والتحكم (C2 ) الخوادم التي تلقت بيانات التصيد.
على سبيل المثال ، تم العثور على MEW CX ، الإضافة الخبيثة التي تستهدف MyEtherWallet ، وهي تلتقط العبارات الأولية وتحيلها إلى خادم يسيطر عليه المهاجم بنية استنزاف محفظة الضحية من الأموال الرقمية.
ومع ذلك ، لم تتم سرقة الأموال من كل حساب بهذه الطريقة. يعتقد الباحثون أن هذا يمكن أن يكون إما لأن المجرمين يسعون وراء حسابات عالية القيمة فقط أو أنه يتعين عليهم اكتساح الحسابات يدويًا.
قال دينلي إن بعض الإضافات جاءت بمراجعات وهمية من فئة الخمس نجوم ، مما يزيد من فرص تنزيل مستخدم غير مرغوب فيه.
وأضاف دينلي: "كانت هناك أيضًا شبكة من المستخدمين المتيقظين الذين كتبوا مراجعات مشروعة حول الإضافات على أنها ضارة – ومع ذلك ، من الصعب تحديد ما إذا كانوا ضحايا لعمليات الاحتيال الخداعية بأنفسهم ، أو مجرد مساعدة المجتمع على عدم التنزيل".
كانت ملحقات سرقة البيانات حدثًا منتظمًا في سوق Chrome الإلكتروني ، مما دفع Google إلى تطهيرها بمجرد اكتشافها. في فبراير الماضي ، أزالت الشركة 500 امتداد ضار بعد أن تم اكتشافها وهي تخدم برامج الإعلانات ، وإرسال نشاط تصفح المستخدمين إلى خوادم C2 تحت سيطرة المهاجمين.
إذا كنت تشك في أنك أصبحت ضحية لملحق متصفح ضار وخسرت أموالًا ، فمن المستحسن تقديم تقرير على CryptochelDB.
