Google a fait le ménage dans le Chrome Web Store en supprimant 49 extensions pour son navigateur Chrome contenant du code malveillant. Ces extensions étaient déguisées en portefeuilles de cryptomonnaie.
Les extensions de phishing ont été identifiées par des chercheurs de MyCrypto et PhishFort. Elles ont été supprimées du Chrome Web Store dans les 24 heures après signalement, mais une apparition progressive remonterait à février dernier.
Pour tromper les utilisateurs, des marques légitimes comme Ledger, MyEtherWallet, Trezor, Electrum, KeepKey et Jaxx ont été usurpées. Les extensions ont également fait l'objet d'une promotion via une campagne de malvertising tirant notamment parti de Google Ads.
En cas d'installation, il était demandé aux utilisateurs de se connecter à leurs comptes de cryptomonnaie. De quoi en réalité envoyer des informations secrètes vers des serveurs de commande et contrôle de cybercriminels.
Un lien a été établi avec 14 serveurs hébergeant pour la plupart leur propre infrastructure avec des scripts PHP. Toutefois, ces serveurs de commande et contrôle semblent liés entre eux, ce qui laisse supposer de mêmes kits de phishing.
Les cybercriminels ne seraient intéressés que par les comptes de grande valeur. Pour PhishFort, il existe quatre acteurs différents qui opèrent actuellement de telles arnaques.
2/ We believe that 4 different actors?️ are currently operating these scams. We identified these groups through signatures in the codebase and design decisions. For example, only one team built the phishing plugins using websockets backend which allowed us to identify them?
— PhishFort (@PhishFort) April 15, 2020
Selon MyCrypto, " soit notre détection s'améliore considérablement, soit le nombre d'extensions malveillantes qui touchent les boutiques d'extensions pour navigateur afin de cibler les utilisateurs de cryptomonnaie augmente de manière exponentielle. "
