Er wordt beweerd dat twee schadelijke Google Chrome-browserextensies ongeveer $800.000 hebben gestolen van een crypto investeerder die bekend staat als “Sell When Over” op X (voorheen Twitter).
In een reeks berichten op X (voorheen Twitter) suggereerde de gebruiker dat de kwaadaardige extensies genaamd “Sync test BETA (colorful)” en “Simple Game” mogelijk keyloggers bevatten die gericht zijn op specifieke wallet-extensie-apps.
Keyloggers zijn kwaadaardige programma’s die door cybercriminelen worden gebruikt om elke toetsaanslag van het computersysteem van het slachtoffer vast te leggen, waardoor ze vertrouwelijke informatie kunnen verkrijgen.
Volgens de gebruiker werd het probleem opgemerkt nadat Google Chrome vorige maand een update had uitgebracht. De gebruiker, die de Chrome-update had uitgesteld, moest zijn computer opnieuw opstarten na een pc-update van Windows.
Interessant genoeg werden na de herstart, die een standaardprocedure is bij het installeren van besturingssysteemupdates, alle extensies van de gebruiker in Chrome uitgelogd en waren al hun tabbladen verdwenen. Dit dwong de gebruiker om opnieuw al zijn referenties in te voeren op Chrome, inclusief zijn seed-phrases voor zijn cryptocurrency-wallets.
De gebruiker vermoedt dat dit het moment was waarop zijn vertrouwelijke informatie werd gecompromitteerd via de keylogger. De fondsen werden naar verluidt drie weken na dit incident weggenomen. Bovendien meldde de gebruiker geen ongebruikelijke activiteit in zijn browser na de herstart.
“Ik heb mijn virusscanner gecontroleerd en er waren geen problemen,” schreef de gebruiker. “Er verschenen geen extra vreemde extensies. Ik ging verder met het opnieuw importeren van mijn seed-phrases.”
Het was pas tijdens een later onderzoek dat de gebruiker de twee kwaadaardige extensies op hun systeem ontdekte. Ook was hun browser ingesteld op automatisch vertalen naar het Koreaans met Google Translate.
Volgens de laatste update hebben de aanvallers naar verluidt de fondsen naar twee beurzen gestuurd, namelijk de in Singapore gevestigde MEXC-beurs en de Gate.io-beurs gevestigd op de Kaaimaneilanden.
Hoewel de gebruiker niet zeker wist hoe hun Chrome-browser precies werd gecompromitteerd, bevestigde hun analyse dat de Sync test BETA (colorful) extensie een keylogger was. Deze extensie zou gegevens naar een PHP-script van een externe website sturen. De website van de aanvaller, wanneer deze handmatig werd geopend, toonde een lege pagina met alleen “Hallo” erop geschreven. Daarnaast controleerde de “Simple game” extensie volgens de gebruiker of tabbladen werden bijgewerkt/geopend/gesloten/ververst.
“Dit is een kostbare fout van $800k,” schreef Sell When Over. “De les hieruit is dat als er iets vreemd lijkt en je wordt aangespoord om een seed in te voeren, je eerst de hele pc moet schoonvegen.”
Op het moment van publicatie waren geen van de extensies te vinden in de Chrome Web Store.
Kwaadaardige extensies op Google Chrome hebben de cryptocurrency-sector al jaren geplaagd. In een rapport uit 2023 onthulden cybersecurity-onderzoekers dat hackers een Chrome-malware genaamd Rilide gebruikten om gevoelige gegevens en cryptocurrency te stelen van nietsvermoedende slachtoffers. Deze malware werd ingezet om kwaadaardige browserextensies te installeren die crypto-fondsen konden stelen.
In het najaar van 2022 werd een ander stuk Windows-malware ontdekt. Deze malware gebruikte Google Chrome-extensies om cryptocurrency en klembordgegevens te stelen. Deze extensies konden HTML op websites bewerken om de werkelijke gebruikersfondsen in wallet weer te geven, terwijl de wallet op de achtergrond werd leeggehaald.