Google ha recentemente rimosso 49 estensioni per il browser Chrome dopo aver ricevuto segnalazioni di attività sospette.
Harry Denley, direttore della sicurezza della start-up MyCrypto, ha spiegato su Medium come sia riuscito a far rimuovere queste estensioni malevole dal Chrome Web Store con l'aiuto della società di sicurezza informatica PhishFort.
Le estensioni possedevano numerose recensioni positive
Le estensioni rimosse tentavano di prendere di mira i proprietari dei wallet hardware prodotti da Ledger, Trezor e KeepKey, nonché gli utilizzatori dei wallet software Jaxx, MyEtherWallet, Metamask, Exodus ed Electrum.
Questi software invitavano le vittime a digitare le credenziali necessarie per accedere ai wallet, come frasi mnemoniche e chiavi private. In questo modo i dati finivano nelle mani dei criminali, che potevano così rubare gli asset contenuti all'interno dei portafogli.
Molte di queste estensioni fraudolente possedevano false recensioni positive sul Web Store, così da ingannare più facilmente le vittime.
Una di queste estensioni conteneva la medesima recensione copiata e incollata otto volte da utenti differenti. Un'altra sosteneva che quella estensione per MyEtherWallet era il modo migliore per gestire i propri Bitcoin (BTC)... nonostante il vero MEW non supporti BTC.
L'indagine ha scoperto che dietro tutte queste estensioni erano presenti soltanto 14 server di controllo. L'analisi delle fingerprint ha poi individuato che molto di questi server venivano controllati dal medesimo gruppo di criminali.
Alcuni dei domini utilizzati per questa campagna di phishing erano relativamente vecchi, ma circa l'80% era stato registrato fra marzo e aprile di quest'anno. La maggior parte delle estensioni malevole erano state pubblicate sul Chrome Web Store soltanto nell'ultimo mese.
Phishing contro gli utilizzatori di criptovalute, un problema sempre più diffuso
Quello delle estensioni fraudolente per browser è un problema che esiste da parecchio tempo. A marzo un utente di Reddit ha raccontato di aver perso 14.908 XRP, equivalenti al tempo ad oltre 2.500$, a causa di una finta estensione "Ledger Wallet":
"Ho iniziato la giornata vendendo molte delle nostre altre criptovalute in cambio di Bitcoin, per ottenere un aiuto economico, e ho poi consolidato i fondi rimanenti in XRP. Ho quindi provato a spostare le monete sul nostro Ledger.
È passato un po' di tempo dall'ultima volta che sono entrata in Ledger (2018), e da allora ho pure cambiato computer. Ricordavo che Ledger avesse un'estensione per Chrome, ed è a questo punto che sono caduta in una truffa."
Questa tipologia di truffa è divenuta talmente diffusa che la stessa Ledger, azienda produttrice di wallet hardware, ha messo in guardia gli utenti riguardo alla presenza di estensioni fraudolente per Chrome.
Al tempo Harry Denley aveva spiegato che il successo di queste campagne è principalmente dovuto all'ignoranza degli utenti:
"Questo è un grosso problema del settore delle criptovalute, bisogna insegnare alla gente a mantenere offline sia chiavi private che codici mnemonici."