Google ChromeCrypto-Sicherheit

Das Internet-Unternehmen Google hat 49 Chrome-Erweiterungen aus seinem Webshop entfernt, um kryptographische Daten zu stehlen. Die entfernten Erweiterungen wurden Berichten zufolge als legitime Chrome-Anwendungen aus kryptografischen Brieftaschen weitergegeben, enthielten jedoch bösartigen Code, der private Schlüssel und andere Sicherheitsdaten stahl.

In einem Blog-Beitrag erläuterte der Direktor von MyCrypto Security, Harry Denley, einer Firma für kryptographische Brieftaschen, die Entdeckung der bösartigen Erweiterungen. Denley erklärte, dass die entfernten Anwendungen als Brieftaschen mit bekannten Krypto-Währungen weitergegeben wurden, darunter Ledger, Trezor, Jaxx, Electrum, MyEtherWallet, MetaMask, Exodus und KeepKey.

Er erklärte auch, dass die Erweiterungen im Wesentlichen böswillig mit Pishing (oder Phishing) arbeiteten, um mnemonische Phrasen, private Schlüssel und Keystore-Dateien zu stehlen. Dem Sicherheitsdirektor gelang es, die 49 gefälschten Chrome-Erweiterungen mit Hilfe von PhishFort, der auf Phishing spezialisierten Cyber-Sicherheitsfirma, zu entfernen.

Android

Gefälschte Chrome-Verlängerungen

Untersuchungen in Zusammenarbeit mit PhishFort ergaben, dass betrügerische Anträge im Februar dieses Jahres im Chrome-Webshop eintrafen. Weitere Versionen würden im März und April 2020 veröffentlicht werden. Der Bericht deutete auch an, dass Ledger die Brieftaschenanwendung mit der höchsten Anzahl böswilliger Erweiterungen war.

Dies ist nicht das erste Mal, dass Hacker die Ledger-Brieftasche für Angriffe auf Benutzer von Krypto-Währungen verwenden. Wie von DiarioBitcoin berichtet, berichtete ein Benutzer kürzlich, dass eine böswillige Erweiterung dieser Brieftasche 16.000 USD in der ZEC (Zcash) gestohlen hat.

Auf der anderen Seite konnten viele Benutzer nicht erkennen, dass sie mit irreführenden Anwendungen konfrontiert waren, weil sie einen guten Ruf hatten. So wird es in dem von Denley veröffentlichten Bericht detailliert beschrieben:

Bei einigen der Erweiterungen gab es ein Netzwerk von Scheinbenutzern, die die Anwendung mit 5 Sternen bewerten und positives Feedback geben, um Benutzer zum Herunterladen der Anwendung zu bewegen. Die meisten positiven Kommentare der schlechten Akteure waren von geringer Qualität, wie z.B. „gut“, „nützliche Anwendung“ oder „legitime Ausweitung“.

Ein weiteres Ergebnis der Untersuchung ist, dass alle Erweiterungen von einer einzelnen Person oder einer Gruppe entwickelt wurden, die angeblich in Russland untergebracht waren. Die Untersuchung entdeckte 14 Kontrollserver hinter allen Erweiterungen. Die detaillierte Analyse kam jedoch zu dem Schluss, dass die meisten Verlängerungen von einem einzigen Spieler vorgenommen wurden.

Hacker haben kryptographische Schlüssel gestohlen

Eine merkwürdige Tatsache ist, dass die Cyber-Angreifer offenbar nicht sofort die Gelder der Opfer aus der Krypto-Währung gestohlen haben. In diesem Zusammenhang stellt Denley die Hypothese auf, dass der Angreifer es auf hochwertige Brieftaschen abgesehen hatte oder dabei war, den Raubvorgang zu automatisieren.