Por Hannah Pérez  

Las extensiones de Chrome falsas suplantaban aplicaciones de billeteras populares, incluyendo Ledger, Trezor, Jaxx, Electrum, MyEtherWalletExodus y otras.

***

La compañía de Internet, Google ha eliminado 49 extensiones de Chrome de su tienda web por robar datos criptográficos. Según informes, las extensiones eliminadas se hacían pasar por aplicaciones de Chrome legítimas de billeteras criptográficas, pero contenían código malicioso que robaba claves privadas y otros datos de seguridad.

Una entrada de blog, el director de seguridad de MyCrypto, Harry Denley, una empresa de carteras criptográficas, detalló el hallazgo de las extensiones maliciosas. Denley explicó que las aplicaciones eliminadas se hacían pasar por billeteras de criptomonedas conocidas, incluyendo Ledger, Trezor, Jaxx, Electrum, MyEtherWallet, MetaMask, Exodus y KeepKey.

También explicó que esencialmente las extensiones operaban maliciosamente con pishing (o suplantación de identidad) para robar frases mnemotécnicas, claves privadas y archivos de almacén de claves. El director de seguridad logró eliminar las 49 extensiones falsas de Chrome con la colaboración de PhishFort, la firma de ciberseguridad especializada en phishing.

Extensiones de Chrome falsas

La investigación en conjunto con PhishFort sugirió que las aplicaciones fraudulentas empezaron a llegar a la tienda web de Chrome en febrero de este año. Posteriormente, se lanzarían más versiones durante marzo y abril 2020. El informe también sugirió que Ledger fue la aplicación de billetera con el mayor número de extensiones maliciosas.

Esta no es la primera vez que hackers utilizan la billetera Ledger para atacar a usuarios de criptomonedas. Como informó DiarioBitcoin, recientemente un usuario denunció que una extensión maliciosa de esa billetera le robó USD $16.000 en ZEC (Zcash).

Por otra parte, muchos usuarios fueron incapaces de reconocer que se enfrentaban a aplicaciones engañosas debido a que contaban con buena reputación. Así detalla el informe publicado por Denley:

Algunas de las extensiones han tenido una red de usuarios falsos que califican la aplicación con 5 estrellas y brindan comentarios positivos para atraer a usuarios a descargarla. La mayoría de los comentarios positivos de los malos actores fueron de baja calidad, como “buena”, “aplicación útil” o “extensión legítima”.

Otro de los descubrimientos de la investigación es que todas las extensiones fueron desarrolladas por una sola persona o un grupo que presuntamente estaría alojado en Rusia. La investigación descubrió 14 servidores de control detrás de todas las extensiones. Sin embargo, el análisis detallado concluyó que un solo actor manejaba la mayoría de las extensiones.

Hackers robaban claves criptográficas

Un dato curioso es que los atacantes cibernéticos parece no haber robado los fondos de criptomonedas de las víctimas de manera inmediata. Al respecto, Denley maneja la hipótesis de que el atacante estaba apuntando a billeteras de alto valor o estaba en proceso de automatizar el proceso de robo.

Hemos enviado fondos a unas cuantas direcciones y enviado los secretos a las extensiones maliciosas. Sin embargo, no fueron removidos automáticamente.

A pesar de eso, mucho otros usuarios sí registraron haber perdido sus fondos en monedas digitales debido a las extensiones falsas. El informe también advirtió que dado que el autor malicioso aún no se ha identificado, las posibilidades de vuelva a crear aplicaciones fraudulentas similares son muy altas. Denley brindó una serie de recomendaciones a los usuarios para mantenerse protegidos de este tipo de ataques.

Además, compartió un video de cómo funciona una extensión falsa dirigida a los usuarios de MyEtherWallet. En esencia, explicó, se ve igual que la típica experiencia MyEtherWallet hasta que el usuario ingresa su clave. Después de enviar la clave, la aplicación maliciosa envía los datos secretos al servidor controlado por los hackers antes de enviarlo nuevamente a la vista predeterminada. Inmediatamente, la aplicación deja de responder y los fondos fueron sido robados.

Enlaces similares

Hackers roban 1,4 millones de tokens XRP a través de extensiones de Google Chrome

Atacante sustrae USD $45 millones en fondos cripto a inversionista a través de hack a la SIM Card de su teléfono

Estafadores se hacen pasar por la OMS para robar bitcoins

 

Fuentes: Medium, Cointelegraph, Finance Magnates,

Versión de Hannah Estefanía Pérez / DiarioBitcoin

Imagen de Pixabay