Інвестор втратив $800 000 в криптовалюті через шкідливі розширення у Google Chrome

У серії повідомлень на X користувач під псевдонімом Sell When Over припустив, що зловмисні розширення під назвою «Sync test BETA (colorful)» та «Simple Game» містили, ймовірно, кейлогери, які націлені на додатки для криптовалютних гаманців.

Кейлогери – це шкідливі програми, які використовують кіберзлочинці для запису кожного натискання клавіші на комп'ютері жертви. Це дозволяє зловмисникам отримати доступ до конфіденційної інформації з комп'ютера жертви.

За словами користувача, проблема вперше з'явилася після того, як минулого місяця Google Chrome випустив оновлення. Користувач, який відкладав оновлення Chrome, був змушений перезапустити комп'ютер після того, як Windows випустив оновлення ПК.

Цікаво, що після перезапуску, який є звичайним кроком під час встановлення оновлень операційної системи, всі розширення користувача в Chrome запросили автентифікацію, а всі його вкладки зникли. Це змусило користувача повторно ввести всі свої облікові дані в Chrome, разом із seed-фразами для своїх криптовалютних гаманців.

Користувач підозрює, що саме тоді його конфіденційна інформація була скомпрометована через кейлогер. За даними, кошти були виведені через три тижні після цієї події. Більше того, користувач не помітив жодної підозрілої активності у своєму браузері після перезапуску.

«Я перевірив свій антивірус, і проблем не було. Не з'явилося жодних додаткових дивних розширень. Я продовжив повторно імпортувати свої seed-фрази», - написав користувач.

Лише під час пізнішого розслідування користувач виявив у своїй системі два шкідливих розширення. Крім того, його браузер також мав налаштований Google Translate для автоматичного перекладу на корейську.

Станом на останнє оновлення, зловмисники перевели кошти на дві біржі: MEXC (Сінгапур) та Gate.io (Кайманові острови).

Хоча користувач так і не з'ясував точно, як саме його браузер Chrome був скомпрометований, його аналіз підтвердив, що розширення Sync test BETA (colorful) є кейлогером. Розширення, за даними, надсилало дані на PHP-скрипт зовнішнього сайту. Сайт зловмисника, відкритий вручну, показує порожню сторінку, на якій написано лише «Привіт». Тим часом розширення «Simple game» «перевіряло, чи вкладки оновлені/відкриті/закриті/оновлені», - додав користувач.

«Це помилка, яка коштувала 800 000 доларів США - урок полягає в тому, що якщо щось здається підозрілим, так що це спонукає вас ввести seed-фразу, то спочатку повністю очистіть ПК», - написав Sell When Over.

На момент публікації жодне з розширень не відображалося в інтернет-магазині Chrome.

Шкідливі розширення в Google Chrome вже роками є серйозною проблемою для сфери криптовалют. У звіті 2023 року дослідники кібербезпеки виявили, що хакери використовують шкідливе програмне забезпечення Chrome під назвою Rilide для крадіжки конфіденційних даних та криптовалюти у нічого не підозрюючих жертв.