Votre panier est vide.
Certains articles de veille peuvent faire l'objet de traduction automatique.
Google a évincé de sa boutique en ligne 49 extensions de navigateur Chrome qui se faisaient passer pour des portefeuilles de devises cryptés mais qui contenaient des codes malveillants permettant de détourner des informations sensibles et de vider les devises numériques.
Les 49 modules complémentaires du navigateur, potentiellement le travail des acteurs de la menace russe, étaient identifié (voir la liste ici) par des chercheurs de MyCrypto et PhishFort.
« Essentiellement, les extensions sont du phishing pour les secrets – phrases mnémoniquesLes fichiers de l’entreprise, les clés privées et les fichiers des magasins de clés », a expliqué Harry Denley, directeur de la sécurité de MyCrypto. « Une fois que l’utilisateur les a saisies, l’extension envoie une requête HTTP POST à son backend, où les mauvais acteurs reçoivent les secrets et vident les comptes ».
Bien que les extensions incriminées aient été supprimées dans les 24 heures après avoir été signalées à Google, l’analyse de MyCrypto a montré qu’elles ont commencé à apparaître sur le Web Store dès février 2020, avant d’augmenter progressivement au cours des mois suivants.
En outre, toutes les extensions fonctionnaient de la même manière, la seule différence étant les marques de portefeuilles cryptocurrentiels qui ont été touchées – telles que Ledger, Trezor, Jaxx, Electrum, MyEtherWallet, MetaMask, Exodus et KeepKey – via 14 serveurs de commande et de contrôle (C2) uniques qui ont reçu les données hameçon.
Par exemple, MEW CX, l’add-on malveillant ciblant MyEtherWallet, a été trouvé en train de capturer les phrases d’amorce et de les transmettre à un serveur contrôlé par l’attaquant dans l’intention de vider le portefeuille de la victime de ses fonds numériques.
Cependant, les fonds n’ont pas été volés de cette façon sur tous les comptes. Les chercheurs émettent l’hypothèse que cela pourrait être dû au fait que les criminels ne s’en prennent qu’aux comptes de grande valeur ou qu’ils doivent balayer manuellement les comptes.
Certaines des extensions, a déclaré M. Denley, sont accompagnées de fausses critiques cinq étoiles, ce qui augmente les chances qu’un utilisateur sans méfiance puisse les télécharger.
« Il y avait aussi un réseau d’utilisateurs vigilants qui ont écrit des critiques légitimes sur le caractère malveillant des extensions – cependant, il est difficile de dire s’ils ont été eux-mêmes victimes des arnaques de phishing, ou s’ils ont simplement aidé la communauté à ne pas télécharger », a ajouté Denley.
Les extensions qui volent des données se produisent régulièrement sur la boutique en ligne de Chrome, ce qui amène Google à les purger dès qu’elles sont découvertes. En février dernier, la société a supprimé 500 extensions malveillantes après avoir été pris à servir des logiciels publicitaires et à envoyer l’activité de navigation des utilisateurs vers des serveurs C2 sous le contrôle d’attaquants.
Si vous pensez avoir été victime d’une extension de navigateur malveillante et avoir perdu des fonds, il est recommandé de déposer un rapport à l’adresse CryptoScamDB.
Voir aussi :
Poster un commentaire