Два вредоносных расширения браузера Google Chrome якобы выкачали $800 000 у инвестора криптовалюты, который пользуется псевдонимом “Продавать при перепродаже” на X.
В серии сообщений на X пользователь предположил, что вредоносные расширения под названиями “Sync test BETA (colorful)” и “Simple Game” возможно содержат ключевые логгеры, которые нацелены на конкретные приложения расширений кошелька.
Ключевые логгеры – это вредоносные приложения, используемые киберпреступниками для записи каждого нажатия клавиши на компьютере цели. Это позволяет злоумышленникам получить доступ к конфиденциальной информации с компьютера жертвы.
По словам пользователя, проблема возникла после обновления Google Chrome в прошлом месяце. Пользователь, откладывавший обновление Chrome, был вынужден перезагрузить компьютер после того, как Windows выпустила обновление для ПК.
Интересно, что после перезапуска, который является обычным шагом при установке обновлений операционной системы, все расширения пользователя в Chrome были разлогинены, и все их вкладки исчезли. Это заставило пользователя заново ввести все учетные данные в Chrome, а также ключевые фразы для их криптовалютных кошельков.
По мнению пользователя, именно тогда его конфиденциальная информация была скомпрометирована с помощью ключевого логгера. Средства, как утверждается, были сняты через три недели после этого события. Более того, пользователь не заметил никакой необычной активности в своем браузере после перезапуска.
“Я проверил свою систему для вирусов, и проблем не обнаружено. Никакие дополнительные странные расширения не появились. Я продолжил реимпортировать мои ключевые фразы”, – написал пользователь.
Только в ходе более позднего расследования пользователь обнаружил два вредоносных расширения на своей системе. Кроме того, их браузер также был настроен на автоматический перевод на корейский язык с помощью Google Translate.
В соответствии с последними обновлениями, злоумышленники, как утверждается, отправили средства на две биржи, базирующиеся в Сингапуре – биржу MEXC и находящиеся в Гаити-Гейт.io.
Пользователь оставался неуверенным, как именно его браузер Chrome был скомпрометирован, но его анализ подтвердил, что расширение Sync test BETA (colorful) было ключевым логгером. По словам пользователя, расширение отправляло данные на внешний веб-сайт через PHP скрипт. Открывая сайт атакующего вручную, появляется пустая страница с написанным только “Привет”. Тем временем, расширение “Simple Game” “проверяло, обновляются ли вкладки/открываются/закрываются
Источник: crypto.news