O Google removeu recentemente 49 extensões de phishing do Google Chrome depois de receber relatórios sobre essas atividades.

Harry Denley, diretor de segurança da MyCrypto, startup de carteira de criptomoeda, explicou em um post de 14 de abril como ele removeu as extensões da loja do Chrome em 24 horas com a ajuda da empresa especializada em segurança cibernética PhishFort.

As extensões removidas incluem aquelas voltadas para os proprietários de carteiras de hardware produzidas pela Ledger, Trezor e KeepKey e usuários de carteiras de software Jaxx, MyEtherWallet, Metamask, Exodus e Electrum.

As extensões faziam os usuários a inserir suas credenciais necessárias para acessar a carteira – como frases se segurança, chaves privadas e arquivos de armazenamento de chaves – e as enviavam a maus atores. Os hackers conseguiram roubar os criptoativos contidos nas carteiras.

Algumas das extensões também tiveram classificações falsas de cinco estrelas na loja de extensões do Chrome, mas os comentários continham pouca ou nenhuma informação que varia de “bom”, “aplicativo útil” a “extensão legítima”.

Uma das extensões teria a mesma revisão copiada e colada oito vezes por usuários diferentes. A MyEtherWallet – a carteira direcionada da extensão – era a opção preferida dos hackers. Vale ressaltar que a MyEtherWallet não oferece suporte ao Bitcoin.

Hackers controlava a maioria das extensões

A investigação descobriu 14 servidores de controle por trás de todas as extensões, mas a análise de impressões digitais revelou que alguns dos servidores eram gerenciados pelos mesmos atores, com o domínio mais antigo vinculado a muitos outros servidores de controle. Denley concluiu posteriormente que os mesmos maus atores estavam por trás da maioria das extensões.

Alguns dos domínios usados nas campanhas de phishing eram relativamente antigos, mas 80% deles foram registrados em março e abril de 2020. A maioria das extensões foi publicada na loja do Chrome este mês.

Não são as primeiras extensões de phishing segmentadas para usuários de criptomoeda

Esta não é a primeira vez que a comunidade descobre uma extensão maliciosa do navegador Google Chrome, direcionada a usuários de criptomoeda. No final de março, um Redditor alertou a comunidade de que ele perdeu alguns criptoativos depois de ser vítima de uma extensão falsa da Ledger.

As extensões do Google Chrome destinadas a usuários de criptomoedas são tão comuns que, no início deste mês, a MyEtherWallet avisou ao usuário que sua extensão oficial foi removida por supostamente conter malware. Felizmente, a extensão foi restaurada logo após a equipe entrar em contato com o Google para resolver o problema.

Por Adrian Zmudzinski