安全研究人员发现Chrome Web Store上,出现49个假冒加密货币钱包的Chrome插件程序,旨在窃取用户账户里的金钱,已经遭Google下架。
区块链软件供应商MyCrypto及安全厂商PhishFort近日发现,Chrome Web Store上出现一批假冒的Chrome浏览器插件,冒充知名电子钱包服务,像是Ledger、Trezoe、Jaxx、Electrum、MyEtherWallet、MetaMask、Exodus和KeyKeep,利用Google Ads或其他渠道大打广告,吸引用户下载。
这些假插件基本上旨在骗取用户敏感信息,包括打开电子钱包的助记词(mnemonic phrases)、密钥、密钥存储的文件等。用户连到输入这些信息后,插件就会将向后端服务器发送HTTP POST调用,而把信息传给黑客,后者就可以借此洗劫用户钱包。
Mycrypto首席安全官Harry Denley发现,这些假插件连向14个彼此连接的不同C&C服务器,但仔细分析所用的程序,其实背后连向同一组人,研判是操俄罗斯语的黑客,他们化身不同品牌骗取不同用户。这些C&C服务器的域名有80%,都是在今年3到4月间注册。
这些插件部分于2月出现在Chrome Web Store上,其他则于后续2个月添加,其中有些甚至还获得5颗星的评分。根据近日和这些电子钱包的新闻,研究人员相信已经有用户钱包遭到窃取,也呼吁受害用户通报。
研究人员通报后,Google已经在24小时内将这近50款插件移除。不过研究人员警告,由于歹徒还未落网,因此类似的假插件未来可能还会出现在Chrome Web Store上。