Google baru-baru ini menghapus 49 ekstensi peramban web Google Chrome phishing setelah menerima laporan tentang aktivitasnya.
Harry Denley, direktur keamanan di startup cryptocurrency wallet MyCrypto, menjelaskan dalam sebuah posting pada tanggal 14 April bagaimana dia menghapus ekstensi dari toko Chrome dalam waktu 24 jam dengan bantuan firma keamanan cybersecurity PhishFort.
Ekstensi yang dihapus termasuk yang menargetkan pemilik dompet perangkat keras yang diproduksi oleh Ledger, Trezor dan KeepKey, dan pengguna dompet perangkat lunak Jaxx, MyEtherWallet, Metamask, Exodus and Electrum.
Ekstensi memicu pengguna untuk memasukkan kredensial yang diperlukan untuk mengakses dompet – seperti frasa mnemonik, kunci pribadi, dan file keystore – dan mengirimkannya ke aktor yang buruk. Peretas kemudian dapat mencuri aset crypto yang terkandung di dalam dompet.
Beberapa ekstensi juga memiliki peringkat bintang lima palsu di toko ekstensi Chrome, tetapi ulasan tersebut berisi sedikit atau tidak ada info mulai dari “baik,” “aplikasi membantu” hingga “ekstensi yang sah.”
Salah satu ekstensi yang dilaporkan memiliki ulasan yang sama disalin dan ditempelkan delapan kali oleh pengguna yang berbeda. Copypasta menyertakan pengenalan Bitcoin (BTC) dan menjelaskan mengapa MyEtherWallet – dompet yang ditargetkan ekstensi – adalah opsi dompet yang disukai. Perlu dicatat bahwa MyEtherWallet tidak benar-benar mendukung Bitcoin.
Satu aktor buruk mengendalikan sebagian besar ekstensi
Penyelidikan menemukan 14 server kontrol di belakang semua ekstensi, tetapi analisis sidik jari mengungkapkan bahwa beberapa server dikelola oleh aktor buruk yang sama, dengan domain tertua yang ditautkan ke banyak server kontrol lainnya. Denley kemudian menyimpulkan bahwa aktor jahat yang sama berada di belakang sebagian besar ekstensi.
Beberapa domain yang digunakan dalam kampanye phishing relatif lama, tetapi 80% dari mereka terdaftar pada Maret dan April 2020. Sebagian besar ekstensi diterbitkan di toko Chrome bulan ini.
Bukan ekstensi phising pertama yang menargetkan pengguna crypto
Ini bukan pertama kalinya komunitas menemukan ekstensi browser Google Chrome jahat yang menargetkan pengguna crypto. Seperti yang dilaporkan Cointelegraph pada akhir Maret, seorang Redditor memperingatkan masyarakat bahwa dia kehilangan beberapa aset crypto setelah menjadi korban ekstensi Ledger palsu.
Ekstensi Google Chrome yang menargetkan pengguna kripto sangat umum, sehingga awal bulan ini MyEtherWallet memperingatkan penggunanya bahwa ekstensi resminya telah dihapus karena diduga mengandung malware. Untungnya, ekstensi dipulihkan tidak lama setelah tim menghubungi Google untuk menyelesaikan masalah.
