E安全4月17日訊,近日外媒報道,據MyCrypto平臺的安全總監Harry Denley透露Google已經從網上應用商店刪除了49個Chrome擴展程序,原因是這些擴展程序偽裝成合法的加密貨幣錢包應用並攜帶惡意軟件代碼,在竊取用戶的加密錢包私鑰、助記短語和其他原始密碼。據悉,研究人員表示這49個擴展程序似乎是來自同一個人或組織的,而且極大可能來自某東歐國家支持的攻擊組織,但目前沒有確鑿證據。
根據調查MyCrypto安全研究人員表示,Chrome擴展程序模仿了Ledger,Trezor,Jaxx,Electrum,MyEtherWallet,MetaMask,Exodus和KeepKey等加密貨幣錢包應用程序,但實際上它們是在竊取用戶的私鑰和助記詞。而且惡意擴展的工作方式幾乎與真正的擴展程序幾乎相同,受害者在配置步驟中輸入的任何數據都會被髮送到攻擊者的服務器或谷歌表單,但是不會立即發生資金從用戶帳戶盜竊的情況。
以下是Google對外公佈的數據記錄:
對此,在一個受控實驗中,Denley說他將測試帳戶的憑據輸入到其中一個惡意擴展中,但是同樣的資金並未立即被盜。Denley認為,威脅行為者可能只想從高價值帳戶中竊取資金,或者是因為攻擊者還沒有弄清楚如何自動進行盜竊,因此目前他們是手動訪問每個用戶帳戶。儘管如此,Denley表示說盜竊案正在發生,已經有研究人員在公開披露此次事件。而且由於大多數加密貨幣的本質性質,受害者無法收回任何被盜的資金。最後,由於此活動背後的國家威脅因素非常大,因此在未來幾個月內,其他惡意擴展也有可能在Web Store上大量出現。
此次事件後,研究人員鼓勵用戶,如果他們認為自己的任何Chrome擴展程序可能是自身資金被黑客入侵併造成資金損失的原因,那麼將可以在CryptoScamDB系統上提交報告,Google研究人員將可以更快地追蹤惡意擴展,並將其從Chrome網上應用店中刪除。
