Инвестор потерял $800 000 в криптовалюте из-за вредоносных расширений в Google Chrome

В серии сообщений на X пользователь под псевдонимом Sell When Over предположил, что злонамеренные расширения под названием «Sync test BETA (colorful)» и «Simple Game» содержали, вероятно, кейлогеры, нацеленные на приложения для криптовалютных кошельков.

Кейлогеры – это вредоносные программы, которые используют киберпреступники для записи каждого нажатия клавиши на компьютере жертвы. Это позволяет злоумышленникам получить доступ к конфиденциальной информации с компьютера жертвы.

По словам пользователя, проблема впервые возникла после того, как в прошлом месяце Google Chrome выпустил обновление. Пользователь, откладывавший обновление Chrome, был вынужден перезапустить компьютер после того, как Windows выпустила обновление ПК.

Интересно, что после перезапуска, который является обычным шагом при установке обновлений операционной системы, все расширения пользователя в Chrome запросили аутентификацию, а все вкладки исчезли. Это заставило пользователя повторно ввести все свои учетные данные в Chrome вместе с seed-фразами для своих криптовалютных кошельков.

Пользователь подозревает, что именно тогда его конфиденциальная информация была скомпрометирована через кейлогер. По данным, средства были выведены спустя три недели после этого события. Более того, пользователь не заметил никакую подозрительную активность в своем браузере после перезапуска.

«Я проверил свой антивирус и проблем не было. Не появилось никаких дополнительных странных расширений. Я продолжил повторно импортировать свои seed-фразы», - написал пользователь.

Лишь во время более позднего расследования пользователь обнаружил в своей системе два вредоносных расширения. Кроме того, его браузер также имел настроенный Google Translate для автоматического перевода на корейский.

По состоянию на последнее обновление, злоумышленники перевели средства на две биржи: MEXC (Сингапур) и Gate.io (Каймановые острова).

Хотя пользователь так и не выяснил точно, как именно его браузер Chrome был скомпрометирован, анализ подтвердил, что расширение Sync test BETA (colorful) является кейлогером. Расширение, по данным, отправляло данные на PHP-скрипт внешнего сайта. Сайт злоумышленника, открытый вручную, показывает пустую страницу, на которой написано только «Привет». Тем временем расширение «Simple game» «проверяло, обновлены/открыты/закрыты/обновлены ли вкладки», - добавил пользователь.

«Это ошибка, которая стоила 800 000 долларов США – урок заключается в том, что если что-то кажется подозрительным, так что это побуждает вас ввести seed-фразу, то сначала полностью очистите ПК», - написал Sell When Over.

На момент публикации ни одно из расширений не отображалось в интернет-магазине Chrome.

Вредоносные расширения в Google Chrome уже годами являются серьезной проблемой для сферы криптовалют. В отчете 2023 года исследователи кибербезопасности обнаружили, что хакеры используют вредоносное программное обеспечение Chrome под названием Rilide для кражи конфиденциальных данных и криптовалюты у ничего не подозревающих жертв.