Анонимный криптовалютный инвестор с именем пользователя «Sell When Over» на X сообщил о потере 800 000 долларов из-за двух предположительно вредоносных расширений браузера Google Chrome.

Инвестор первым поднял тревогу, опубликовав сообщение на X, сообщив, что они обнаружили потерю 500 000 долларов США из нескольких приложений-кошельков.

Атака на расширение Chrome привела к убыткам в 800 тысяч долларов

«Думаю, на меня напали на расширение: в моем браузере Chrome появилось два подозрительных расширения», — рассказали они. Дальнейшее расследование, проведенное потерпевшим, выявило масштабы компрометации, составившие убыток в размере 800 000 долларов США. Они подозревали, что в их браузере Google Chrome произошел взлом, возможно, с использованием кейлоггера, нацеленного на определенные расширения криптокошелька.

Общий компромисс составляет около 800 тысяч долларов. Я подозреваю, что это был компрометация Google Chrome, содержащая возможный кейлоггер, нацеленный на определенные приложения расширения кошелька (либо из-за уязвимости Chrome из-за того, что я задерживал регулярные обновления, либо из-за получения вредоносного ПО, которое не было обнаружено… pic.Twitter.com/yMJfHAFzQo

— Продать, когда закончится | 9000.sei (@sell9000) 8 апреля 2024 г.

За несколько недель до этого трейдер неоднократно откладывал обновление Google Chrome. Однако обязательное обновление Windows в конечном итоге привело к перезагрузке системы. После перезапуска Chrome они заметили, что все их вкладки исчезли, а входы в расширения были сброшены.

После инцидента жертва была вынуждена повторно ввести все свои учетные данные в Chrome и вручную повторно импортировать начальные фразы для своих криптовалютных кошельков с отдельного защищенного устройства.

Пользователь подозревает, что кейлоггер скомпрометировал его конфиденциальную информацию, что впоследствии привело к сливу средств. Пользователь также не заметил какого-либо аномального поведения в своем браузере после перезапуска, а его антивирусный сканер не выявил никаких проблем и других подозрительных расширений.

Расширения Chrome, идентифицированные как кейлоггеры

После предварительного расследования они выявили два подозрительных расширения — «Бета-версия синхронизации» и «Простая игра», а также включенную в Chrome настройку автоматического перевода на корейский язык.

Пользователь остался не уверен, как именно был скомпрометирован его браузер Chrome, но подтвердил, что расширение «Sync test BETA» было кейлоггером. Между тем, «Простая игра», похоже, отслеживает действия вкладок и взаимодействует с PHP-скриптом внешнего сайта.

«Это ошибка, которая обходится в 800 тысяч долларов. Урок заключается в том, что если что-то кажется неправильным и вам предлагается ввести начальное значение, то сначала нужно стереть весь компьютер», — предупредил трейдер.

Они также объяснили, что их бдительность ослабла, потому что обновление совпало с крупным обновлением Chrome, которое включало изменения в процесс выбора пользователя и интерфейс входа в Google. Это заставило их подумать, что сброс расширений и потеря вкладок произошли из-за этого значительного обновления.

По последним данным, злоумышленники перевели средства на две биржи: MEXC, расположенную в Сингапуре, и Gate.io со штаб-квартирой на Каймановых островах.

Источник