Recentemente, a Google foi responsável por remover 49 extensões de carteira de criptomoedas para navegadores de internet. O motivo? Foram descobertos roubando senhas das contas de seus usuários.
Dentre os aplicativos, haviam referências à Ledger, Trezor, Jaxx, Electrum, Myetherwallet, Metamask, Exodus e Keepkey – todos aplicativos falsos de empresas legítimas.
A descoberta
Foi revelado nesta terça-feira pelo pesquisador de segurança Harry Denley que as extensões estariam coletando dados privados de forma ilegal. Denley é diretor de segurança na MyCrypto, uma ferramenta open-source de geração de carteiras para Ether e tokens ERC20.
Posando como extensões de carteiras legítimas, as 49 extensões falsas de Chrome continham códigos maliciosos que roubavam chaves, frases mnemônicas e arquivos de keystore.
Esses dados eram repassados durante a criação de diferentes configurações das carteiras, e chegavam aos servidores dos criminosos ou por formulários Google.
Por fim, alguns das extensões tinham redes de contas falsas que davam avaliações 5 estrelas e feedbacks positivos. De acordo com Denley, as extensões aparentam ser de uma pessoa ou grupo baseado na Rússia.
As carteiras de criptomoedas alvejadas
Denley ainda listou as carteiras que foram alvo do golpe. Dentro delas, estão a Ledger, Trezor, Jaxx, Electrum, Myetherwallet, Metamask, Exodus, and Keepkey. Também descobriu que a carteira mais atacada era a Ledger, com 57% de extensões maliciosas.
As outras foram Myetherwallet (22%), Trezor (8%), Electrum (4%), Keepkey (4%), e Jaxx (2%).
Durante esse teste, o pesquisador de segurança enviou fundos para alguns desses endereços e encontrou alguns “segredos”. Ele descobriu que os fundos não eram automaticamente varridos, concluindo que os ataques eram apenas em contas de alto valor, ou manualmente esvaziadas.
Ademais, notou que as extensões maliciosas começaram a atacar a Google Chrome Web Store em fevereiro, e rapidamente se espalharam em abril. Acrescentou também que a Google foi notificada, e removeu todos em 24h.
