Google entfernt 49 Phishing-Erweiterungen, die Kryptogeldaten stehlen

Google hat kürzlich 49 Phishing-Erweiterungen des Google Chrome-Webbrowsers entfernt, nachdem Berichte über deren Aktivität eingegangen waren.

Harry Denley, Sicherheitsdirektor des Startup-Unternehmens MyCrypto, das eine Brieftasche mit Krypto-Währungen herstellt, erklärte in einem Beitrag vom 14. April in Medium, wie er die Erweiterungen mit Hilfe des auf Phishing spezialisierten Cybersicherheitsunternehmens PhishFort innerhalb von 24 Stunden aus dem Geschäft von Chrome entfernen konnte.

Zu den entfernten Erweiterungen gehören solche, die sich an die Besitzer von Hardware-Brieftaschen der Hersteller Ledger, Trezor und KeepKey sowie an Benutzer der Software-Brieftaschen Jaxx, MyEtherWallet, Metamask, Exodus und Electrum richteten.

Die Erweiterungen veranlassten die Benutzer, die für den Zugriff auf die Brieftasche erforderlichen Anmeldedaten – wie mnemonische Sätze, private Schlüssel und Keystore-Dateien – einzugeben, und schickten sie an schlechte Schauspieler. Hacker waren dann in der Lage, die in den Brieftaschen enthaltenen Krypto-Assets zu stehlen.

Einige der Erweiterungen hatten auch gefälschte Fünf-Sterne-Bewertungen im Chrome-Erweiterungsspeicher, aber die Rezensionen enthielten wenig bis gar keine Informationen, die von „gut“, „hilfreiche App“ bis „legale Erweiterung“ reichten.

Berichten zufolge wurde bei einer der Erweiterungen die gleiche Rezension achtmal von verschiedenen Benutzern kopiert und eingefügt. Die Copypasta enthielt eine Einführung in Bitcoin (BTC) und erklärte, warum MyEtherWallet – die zielgerichtete Brieftasche der Erweiterung – die bevorzugte Brieftaschenoption war. Es ist erwähnenswert, dass MyEtherWallet Bitcoin Future eigentlich nicht unterstützt.

Reich werden mit Bitcoin Future

Ein schlechter Schauspieler kontrollierte die meisten Erweiterungen

Die Untersuchung deckte 14 Kontrollserver hinter allen Erweiterungen auf, aber die Analyse der Fingerabdrücke ergab, dass einige der Server von den gleichen schlechten Akteuren verwaltet wurden, wobei die älteste Domäne mit vielen anderen Kontrollservern verbunden war. Denley kam anschließend zu dem Schluss, dass hinter den meisten Erweiterungen dieselben schlechten Akteure standen.

Einige der in den Phishing-Kampagnen verwendeten Domänen waren relativ alt, aber 80% von ihnen wurden im März und April 2020 registriert. Die meisten der Erweiterungen wurden in diesem Monat im Chrome-Shop veröffentlicht.

Nicht die ersten Phishing-Erweiterungen, die auf Krypto-Benutzer abzielen

Dies ist nicht das erste Mal, dass die Community eine böswillige Google-Chrome-Browsererweiterung entdeckt hat, die auf Krypto-Benutzer abzielt. Wie Cointelegraph Ende März berichtete, warnte ein Redakteur die Community, dass er einige Krypto-Assets verloren habe, nachdem er Opfer einer gefälschten Ledger-Erweiterung geworden war.

Google Chrome-Erweiterungen, die auf Krypto-Benutzer abzielen, sind so verbreitet, dass MyEtherWallet Anfang dieses Monats seinen Nutzer warnte, dass seine offizielle Erweiterung entfernt wurde, weil sie angeblich Malware enthielt. Glücklicherweise wurde die Erweiterung kurz nachdem das Team Google kontaktiert hatte, um das Problem zu lösen, wiederhergestellt.