49 расширений для Chrome пытались выкрасть криптовалюту пользователей

Олег Иванов 15 Апреля 2020 - 16:08

Домашние пользователи

Google

Утечки информации

Умышленные утечки информации

Кража данных

...

49 расширений для Chrome пытались выкрасть криптовалюту пользователей

Google удалил 49 вредоносных расширений для браузера Chrome, которые охотились за криптовалютой пользователей. Эксперты считают, что за всеми этими аддонами стоит российская киберпреступная группа.

Если пользователь устанавливал одно из таких расширений, злонамеренный код тут же пытался выкрасть секретные ключи от криптовалютных кошельков.

Обнаруживший аддоны специалист Гарри Денли, возглавляющий отдел безопасности в MyCrypto, полагает, что все 49 расширений разработала одна группировка, следы которой ведут в Россию.

«Все выявленные расширения работают по одному и тому же сценарию, однако в зависимости от атакуемого пользователя меняется бренд», — утверждает Денли.

Авторы аддонов пытались замаскировать своё детище под легитимные приложения для криптовалютных кошельков: Ledger, Trezor, Jaxx, Electrum, MyEtherWallet, MetaMask, Exodus и KeepKey. Стоит отметить, что по функциональным возможностям злоумышленники максимально приблизили вредоносы к подлинным кошелькам.

Самое важное отличие зловредов от легитима заключалось в отправке информации — вредоносные расширения высылали все введённые жертвой данные прямиком на сервер киберпреступников.

Ниже приводим идентификаторы расширений, пытавшихся выкрасть цифровую валюту пользователей:

ID расширения	Атакуемый кошелёк
afephhbbcdlgdehhddfnehfndnkfbgnm	Ledger
agfjbfkpehcnceblmdahjaejpnnnkjdn	Ledger
ahlfiinafajfmciaajgophipcfholmeh	MyEtherWallet
bhkcgfbaokmhglgipbppoobmoblcomhh	Ledger
ckelhijilmmlmnaljmjpigfopkmfkoeh	MyEtherWallet
dbcfhcelmjepboabieglhjejeolaopdl	Ledger
ddohdfnenhipnhnbbfifknnhaomihcip	Ledger
dehindejipifeaikcgbkdijgkbjliojc	Ledger
dkhcmjfipgoapjamnngolidbcakpdhgf	Trezor
egpnofbhgafhbkapdhedimohmainbiio	MyEtherWallet
gpffceikmehgifkjjginoibpceadefih	Electrum
idnelecdpebmbpnmambnpcjogingdfco	Ledger
ifceimlckdanenfkfoomccpcpemphlbg	Electrum
igkljanmhbnhedgkmgpkcgpjmociceim	Ledger
jbfponbaiamgjmfpfghcjjhddjdjdpna	MetaMask
jfamimfejiccpbnghhjfcibhkgblmiml	Trezor
jlaaidmjgpgfkhehcljmeckhlaibgaol	Exodus
lfaahmcgahoalphllknbfcckggddoffj	Ledger
mcbcknmlpfkbpogpnfcimfgdmchchmmg	Ledger
mciddpldhpdpibckghnaoidpolnmighk	Ledger
mjbimaghobnkobfefccnnnjedoefbafl	Ledger
njhfmnfcoffkdjbgpannpgifnbgdihkl	MyEtherWallet
oejafikjmfmejaafjjkoeejjpdfkdkpc	Ledger
opmelhjohnmenjibglddlpmbpbocohck	Ledger
pbilbjpkfbfbackdcejdmhdfgeldakkn	Ledger
pcmdfnnipgpilomfclbnjpbdnmbcgjaf	MetaMask
pedokobimilhjemibclahcelgedmkgei	Jaxx
plnlhldekkpgnngfdbdhocnjfplgnekg	CCB
ogaclpidpghafcnbchgpbigfegdbdikj	Trezor
ijhakgidfnlallpobldpbhandllbeobg	MyEtherWallet
ifmkfoeijeemajoodjfoagpbejmmnkhm	MyEtherWallet
epphnioigompfjaknnaokghgcncnjfbe	MyEtherWallet
gbbpilgcdcmfppjkdociebhmcnbfbmod	KeepKey
akglkgdiggmkilkhejagginkngocbpbj	Trezor
ijohicfhndicpnmkaldafhbecijhdikd	Ledger
noilkpnilphojpjaimfcnldblelgllaa	Ledger
nicmhgecboifljcnbbjlajbpagmhcclp	MyEtherWallet
obcfoaeoidokjbaokikamaljjlpebofe	Ledger
dbcfokmgampdedgcefjahloodbgakkpl	Ledger
mnbhnjecaofgddbldmppbbdlokappkgk	Ledger
ahikdohkiedoomaklnohgdnmfcmbabcn	Ledger
anihmmejabpaocacmeodiapbhpholaom	Ledger
ehlgimmlmmcocemjadeafmohiplmgmei	Ledger
effhjobodhmkbgfpgcdabfnjlnphakhb	Ledger
kjnmimfgphmcppjhombdhhegpjphpiol	Ledger
glmbceclkhkaebcadgmbcjihllcnpmjh	MyEtherWallet
bkanfnnhokogflpnhnbfjdhbjdlgncdi	Ledger
bpfdhglfmfepjhgnhnmclbfiknjnfblb	MyEtherWallet
bpklfenmjhcjlocdicfadpfppcgojfjp	KeepKey

Следующая главная новость »

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »

Екатерина Быстрова 11 Февраля 2026 - 09:03

Трояны Домашние пользователи

Троянская версия 7-Zip превращает компьютеры в прокси-узлы

Исследователи из Malwarebytes обнаружили вредоносную версию популярного архиватора 7-Zip, которая распространяется через поддельный сайт 7zip[.]com. Вместо обычной установки программы пользователи получают скрытый пейлоад: заражённый компьютер начинает работать как узел резидентского прокси.

Поводом для расследования стал пост на Reddit, где пользователь пожаловался на заражение после скачивания 7-Zip не с официального сайта 7-zip.org, а с похожего домена.

Выяснилось, что вредоносный установщик действительно инсталлирует рабочую версию архиватора, но параллельно загружает дополнительные компоненты.

Основная задача зловреда — использовать устройство жертвы как прокси-сервер. Это позволяет третьим лицам направлять интернет-трафик через IP-адрес пользователя. Фактически компьютер становится частью чужой инфраструктуры, а владелец может даже не подозревать об этом.

Вредоносная программа также применяет методы сокрытия от анализа: проверяет среду запуска на признаки виртуальных машин и инструментов мониторинга, прежде чем активироваться.

По словам менеджера по исследованиям и реагированию Malwarebytes Стефана Дасича, любой компьютер, на котором запускался установщик с 7zip[.]com, следует считать скомпрометированным.

Интересно, что жертва попала на поддельный сайт после перехода по ссылке из комментариев к ролику на YouTube. В Malwarebytes отмечают, что такие мелкие ошибки — например, указание неправильного домена в обучающем видео — могут использоваться злоумышленниками для массового перенаправления пользователей на вредоносную инфраструктуру.

Эксперты советуют скачивать программы только с официальных сайтов и сохранять проверенные адреса в закладках. Также стоит насторожиться, если установщик подписан непривычным сертификатом или ведёт себя нетипично.

Кроме того, исследователи связали эту кампанию с более широкой схемой распространения proxyware — в найденных файлах упоминались Hola, TikTok, WhatsApp (принадлежит Meta, признанной экстремистской и запрещенной в России) и Wire. Это может указывать на использование заражённых устройств в более крупной сети прокси-инфраструктуры.

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »