Google elimina 49 extensiones en Chrome que estaban robando billeteras de criptomonedas


Un grupo de expertos detectaron varias extensiones para el navegador Google Chrome, como en otros navegadores, estaban secuestrando varios tipos de billeteras de criptomonedas. Las extensiones eran utilizadas para robar “seed phrases” (utilizadas para recuperar fondos), claves privadas y archivos de almacenamiento de claves, para luego ser enviadas a los atacantes por medio de una solicitud HTTP POST.

Las marcas de billeteras de criptomonedas (Cripto-Wallets) que estas extensiones mantenían como objetivo eran:
  1. Ledger - https://www.ledger.com
  2. Trezor - https://trezor.io
  3. Jaxx - https://jaxx.io
  4. Electrum - https://electrum.org
  5. MyEtherWallet - https://myetherwallet.com
  6. MetaMask - https://metamask.io
  7. Exodus - https://www.exodus.io
  8. KeepKey - https://shapeshift.io/keepkey


Los investigadores, aunque descubrieron en las extensiones 14 comandos de control (C2s) únicos, descubrieron que los miembros detrás de ellas son los mismos actores, de la siguiente forma:

  1. Emplearon métodos de análisis de huellas digitales
  2. El tipo de los paquetes de datos enviados a los C2s
  3. Así como 80% de los dominios de los C2s fueron registrados en el periodo de Marzo a Abril, donde el más antiguo (ledger.productions) tiene la mayoría de conexiones hacia otros C2s en términos de huellas digitales.

Ejemplo de conexiones al C2 más antiguo desde otros C2s

Los atacantes también crearon un grupo de usuarios falsos en Google, con el fin de dar puntuaciones altas a la aplicación de 5 estrellas y dando comentarios positivos cortos como “good”, “helpful app” o “legit extension” sobre las extensiones para incentivar a los usuarios a descargarlas.

Las extensiones comenzaron a llegar a la tienda de forma paulatina en el mes de Febrero 2020, con un incremento en Marzo y disparandose durante el mes de Abril.

February 2020: 2.04% 
March 2020: 34.69%
April 2020: 63.26%

Donde los investigadores destacan que hay dos posibilidades, el análisis de ellos está mejorando o la cantidad de extensiones maliciosas dirigidas hacia usuarios de criptomonedas está creciendo exponencialmente. 

El análisis de sus datos arrojaron que la mayoría de extensiones están enfocadas a las billeteras digitales de la siguiente manera:

Ledger - 57% 
MyEtherWallet -22%
Trezor - 8% 
Electrum - 4%
KeepKey - 4%
Jaxx - 2%

Los expertos reportaron la situación a Google, resultando en la eliminación de hasta 49 aplicaciones en 24 horas, desde el momento en que iniciaron.


Si eres usuario de extensiones para criptomonedas, deberías seguir las siguientes recomendaciones:

  1. Debes familiarizarte con los permisos que tienen las extensiones instaladas, yendo a “chrome://extensions/” y haz click en la pestaña detalles (Details) en cada extensión.
  2. Comprende y analiza el riesgo de cada permiso.
  3. Remueve la extensión, si consideras que los permisos son excesivos o comprometedores para el uso de esa extensión.
  4. Límite a las extensiones para que se ejecuten sólo cuando haces click en el icono de la extensión y en ciertos dominios de confianza.
  5. Considerar usar un navegador diferente para el uso de datos de criptomonedas y otro para uso personal.



Indicadores de Compromiso (IoCs)


Servidores de Comando y Control (C2s)

http://ledgerwallet.xyz/api.php
https://v1.ledgers.tech
https://coinomibeta.online/post/connexion.php
https://completssl.com/functions.php
https://completssl.com/ssnd_1.php
https://completssl.com/ssnd_el.php
https://completssl.com/ssnd_ex.php
https://completssl.com/ssnd_t.php
https://cxext.org/6721e14f0257a64f1f0a9114197d59ba/
https://docs.google.com/forms/d/1PXmiKeuYFdNS8D1q5yU1Cb7_9TwZQMbMCTl2PfSYhLI/formResponse
https://docs.google.com/forms/d/e/1FAIpQLSc1DTYAqXYnGTaUH0AIJa-rC2lk7V5nsE6tEdGIKXTKNm36HQ/formResponse
https://docs.google.com/forms/d/e/1FAIpQLScuQg9Rpct1ahMotYT12xBAt3MmcubQg-duV1a0BZ_vo1Tj4g/formResponse
https://ledger.productions/api_v1/
https://mecxanalytic.co/api_keystore.php
https://mecxanalytic.co/api_mnemonic.php
https://mecxanalytic.co/api_private.php
https://trxsecuredapi.co/api_ledger.php
https://usermetrica.org/api_v1/
http://vh368451.eurodir.ru/api/v1/
https://walletbalance.org/api_v1/
ws://analytics-server296.xyz:4367




Fuente:

COMENTARIOS

Nombre

Actualización,3,Actualizaciones,4,Adobe,2,Adware,3,AgentTesla,1,android,31,Antivirus,3,Apache,1,APP,1,Apple,16,Apps,13,APT,2,Arkavia Networks,15,asus,1,Ataques,7,Azure,2,Backdoor,5,Bancos,6,Barracuda,1,Bases de Datos,6,BCE,1,Bluetooth,1,bootHole,1,Botnet,6,Botnet. Malware,1,Check Point,3,Chile,1,Chips,1,Chrome,3,Ciberataque,5,Cibercrimen,139,Cibercriminales,1,Ciberdelincuencia,13,ciberseguridad,150,Cisco,3,Citrix,5,Cloud,2,CMS,1,ComRAT,1,Comunicaciones,1,Consejos,2,CONVID,1,CookieThief,1,Coronavirus,1,COVID19,2,CPU,3,Criptomonedas,7,CSP,1,CTF,1,cyber day,2,Cyberwarfare,5,Dark Web,2,Data Breach,3,Data Leak,11,Database,2,Datos,2,DDoS,5,Debate,1,Deep Web,5,dlink,1,DNS,1,Domains,1,DoS,2,Ecommerce,3,elasticsearch,1,Email,3,Emotet,2,Empresas,114,enrutadores,1,Estadisticas,1,evento,1,Eventos,6,Evilnum,1,Exchange,3,exploit,8,Exploits,11,Extensiones,2,Extensions,2,F5 Networks,1,Facebook,9,Falla,2,Fileless,1,Fintech,1,Firewall,1,Firmware,2,Flash,1,Framework,1,Freta,1,GARMIN,2,Glueball,1,Gmail,3,GoDaddy,1,google,34,GPS,2,GRUB2,1,Hacking,83,Hardware,7,Hosting,3,HTML5,1,HTTP,1,IBM,1,IGMP,1,Industria,10,Infostealer,2,Instagram,2,Intel,2,Internacional,40,Internet,34,Investigacion,9,IOC,2,ios,5,IoT,4,ipad,1,iphone,1,ISO,1,Joomla,1,LATAM,1,Latinoamerica,1,LG,1,Linux,9,LoLbins,1,LSASS,1,Macromedia,1,Malware,46,Malwares,32,Maze,2,Messenger,1,MFA,1,Microsoft,38,Mirai,2,Monero,1,mongoDB,1,MSP,1,MSSQL,1,Mukashi,1,Nacional,10,NAS,2,Negocios,2,Netgear,1,Netwalker,1,Node.js,1,Openwrt,1,Oracle,2,OS,9,Passwordless,1,Payload,2,Paypal,1,phishing,17,Plugins,1,PoC,2,Protocolos,12,Python,2,QNAP,1,QR,1,Ragnar_Locker,1,Ransomware,20,RAT,2,RCE,2,RDoS,1,RDP,3,Recomendaciones,17,Redes,30,redes sociales,12,Redhat,1,Remoto,1,REvil,1,Rookit,1,Rootkit,1,Routers,3,RRSS,2,Ryuk,1,Salt,1,Salud,2,SeguridadTI,3,Servicios,7,Smartphones,29,SMB,5,Sodinokibi,1,Software,23,SonicOS,1,Sonicwall,1,Sophos,1,Spambot,1,Spamhaus,1,Spyware,11,SQL,1,SSL,1,Teams,1,TeamViewer,1,Tplink,1,Trickbot,1,Trojan,2,Troyano,3,Update,6,updates,22,USB,1,Videoconferencia,1,VNC,1,VPN,4,Vulnerabilidad,37,Vulnerabilidades,76,Web,8,WER,1,WhatsApp,5,wifi,5,Windows,21,Wordpress,4,Xerox,1,XG,1,Yahoo,1,zeroday,3,Zoom,3,Zoombombing,1,
ltr
item
Arkavia Networks News: Google elimina 49 extensiones en Chrome que estaban robando billeteras de criptomonedas
Google elimina 49 extensiones en Chrome que estaban robando billeteras de criptomonedas
https://1.bp.blogspot.com/-s2whbDc2gCo/XpiMNPO7_SI/AAAAAAAAB8Y/2VNitkSPBYMQ94XbgraqRZPPbw5j-vyGACLcBGAsYHQ/s640/extension%2Bstolen%2Bcryptowallets.jpg
https://1.bp.blogspot.com/-s2whbDc2gCo/XpiMNPO7_SI/AAAAAAAAB8Y/2VNitkSPBYMQ94XbgraqRZPPbw5j-vyGACLcBGAsYHQ/s72-c/extension%2Bstolen%2Bcryptowallets.jpg
Arkavia Networks News
https://www.arkalabs.cl/2020/04/google-elimina-49-extensiones-en-chrome.html
https://www.arkalabs.cl/
https://www.arkalabs.cl/
https://www.arkalabs.cl/2020/04/google-elimina-49-extensiones-en-chrome.html
true
7213111567211435179
UTF-8
Se han cargado todas las publicaciones No se ha encontrado ninguna publicación. Ver Todos Leer Noticia Responder Cancelar Respuesta Eliminar Por Inicio PÁGINAS ENTRADAS View All RECOMENDADO PARA TI ETIQUETA ARCHIVOS BUSQUEDA TODAS LAS ENTRADAS No se ha encontrado ninguna coincidencia de publicación con su solicitud. Volver al Inicio Sunday Monday Tuesday Wednesday Thursday Friday Saturday Sun Mon Tue Wed Thu Fri Sat January February March April May June July August September October November December Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec just now 1 minute ago $$1$$ minutes ago 1 hour ago $$1$$ hours ago Yesterday $$1$$ days ago $$1$$ weeks ago more than 5 weeks ago Followers Follow THIS PREMIUM CONTENT IS LOCKED STEP 1: Share. STEP 2: Click the link you shared to unlock Copy All Code Select All Code All codes were copied to your clipboard Can not copy the codes / texts, please press [CTRL]+[C] (or CMD+C with Mac) to copy