Οι ερευνητές παρατήρησαν μια τεράστια καμπάνια που ωθεί ψεύτικες επεκτάσεις προγράμματος περιήγησης σε χρήστες – ανάμεσα τους και επεκτάσεις Google Chrome – , οι οποίες μιμούνται δημοφιλή brand χρησιμοποιώντας το Google Ads και άλλα κανάλια διαφήμισης.
Οι επεκτάσεις στοχεύουν να κλέψουν μνημονικές φράσεις, ιδιωτικά κλειδιά και αρχεία Keystore από τους χρήστες και να τα στείλουν στον server του εισβολέα.
Εντοπίστηκαν 49 επεκτάσεις Chrome
Οι κακόβουλες επεκτάσεις κρυπτογράφησης βρέθηκαν από τον Harry Denley, Διευθυντή Ασφάλειας στην πλατφόρμα MyCrypto. Πλαστοπροσωπούν δημοφιλή brand όπως οι Trezor, Jaxx, Electrum, MyEtherWallet, MetaMask, Exodus και KeepKey.
Μόλις ο χρήστης εισάγει μυστικά κλειδιά με αυτές τις ψεύτικες επεκτάσεις, τότε οι επεκτάσεις στέλνουν ένα αίτημα HTTP POST στον C2 server που ελέγχεται από τον εισβολέα.
Οι ερευνητές παρουσίασαν επίσης ένα βίντεο σχετικά με τον τρόπο επέκτασης που στοχεύει την δουλειά του χρήστη του MyEtherWallet. Ζητά από τους χρήστες να εισάγουν όλες τις λεπτομέρειες και το interface μοιάζει με του ίδιου του MyEtherWallet.
Μόλις ο χρήστης εισάγει τα στοιχεία, οι μυστικές πληροφορίες που αποστέλλονται στον server ελέγχονται από εισβολείς.
Οι περισσότεροι από τους C2 servers βρέθηκαν να έχουν εγγραφεί μεταξύ Μαρτίου και Απριλίου 2020, ο παλαιότερος μεταξύ τους είναι (ledger.productions).
Ορισμένες από τις επεκτάσεις χρησιμοποιούν δεδομένα ηλεκτρονικού ψαρέματος (phished data) σε μια φόρμα GoogleDocs και μερικές από τις κακόβουλες επεκτάσεις χρησιμοποιούν τα PHP scripts τους, ανέφεραν οι ερευνητές.
«Ορισμένες από τις επεκτάσεις είχαν ένα δίκτυο ψεύτικων χρηστών που αξιολογούσαν την εφαρμογή με 5 αστέρια και έδινα θετικά σχόλια για την επέκταση για να προσελκύσουν έναν χρήστη να το κατεβάσει. Τα περισσότερα θετικά σχόλια από τους ψεύτικους χρήστες ήταν χαμηλής ποιότητας, όπως “καλή”, “χρήσιμη εφαρμογή” ή “νόμιμη επέκταση.»
Όλες οι κακόβουλες επεκτάσεις αναφέρθηκαν από τους ερευνητές στο Google Webstore και καταργήθηκαν εντός 24 ωρών.
“Μια ανάλυση από το σύνολο των δεδομένων μας δείχνει ότι οι κακόβουλες επεκτάσεις κυκλοφορούσαν με αργούς ρυθμούς τον Φεβρουάριο του 2020, αύξησαν τις κυκλοφορίες έως τον Μάρτιο του 2020 και στη συνέχεια τον Απρίλιο του 2020 αύξησαν κατά πολύ τις κυκλοφορίες τους”, δήλωσε ο Harry Denley.
Οι εισβολείς που κάνουν κατάχρηση του Chrome store δεν είναι καινούργιοι, πρόσφατα καταργήθηκαν 500+ κακόβουλες επεκτάσεις Chrome από το επίσημο Chrome Web Store.
